Disable-AzureRmVMDiskEncryption cmdlet(我相信禁用 = 解密)只需要 VM 的名称即可禁用加密。
在没有任何密钥的情况下禁用加密不是安全问题吗?如何通过 RBAC 防止磁盘禁用加密?
Disable-AzureRmVMDiskEncryption cmdlet(我相信禁用 = 解密)只需要 VM 的名称即可禁用加密。
在没有任何密钥的情况下禁用加密不是安全问题吗?如何通过 RBAC 防止磁盘禁用加密?
在没有任何密钥的情况下禁用加密不是安全问题吗?
它看起来不像是一个安全问题,因为这里有两个不同的问题:
保护静态数据 - 由 Azure 磁盘加密处理(仅当您根据 Azure 数据安全和加密最佳实践启用它时)
保护对 VM 本身及其资源的访问 - 这由 RBAC 负责。
当您禁用磁盘加密时
它实际上确实确保当前加密的数据被解密回来并且不再在静止时加密。
由于 Azure 在您首先启用加密时就已经知道有关密钥加密密钥 (KEK) 和磁盘加密密钥 (DEK) 的详细信息,因此实际上不需要询问这些详细信息即可解密当前加密的信息。
以下是 Microsoft Docs 中解密流程的详细信息:
如何通过 RBAC 防止磁盘禁用加密?
可以通过使用 Azure 门户/PowerShell 等中的 RBAC分配(或删除)正确的角色(如所有者或虚拟机参与者)来控制谁可以管理 VM 或启动/禁用磁盘加密的真正问题。