为什么Disable-AzureRmVMDiskEncryption不需要密钥加密密钥或磁盘加密密钥URL
Disable-AzureRmVMDiskEncryption cmdlet(我相信disable =解密)仅需要VM的名称即可禁用加密。
禁用没有任何密钥的加密不是安全问题吗?如何通过RBAC防止磁盘禁用加密?
1 个答案:
答案 0 :(得分:1)
在没有任何密钥的情况下禁用加密不是安全性问题吗?
它看起来不像是一个安全问题,因为这里有两个独立的问题:
-
保护静态数据-由Azure磁盘加密处理(仅当您根据Azure数据安全性和加密最佳做法启用它时)
-
保护对VM本身及其资源的访问-由RBAC负责。
禁用磁盘加密时
它实际上可以确保当前加密的数据被解密,并且在静止时不再加密。
由于Azure从一开始就启用加密以来就已经知道有关密钥加密密钥(KEK)和磁盘加密密钥(DEK)详细信息的细节,因此它实际上并不需要按顺序要求这些细节解密当前加密的信息。
以下是Microsoft Docs解密流程的详细信息:
如何保护磁盘免于通过以下方式禁用加密: RBAC?
可以通过使用Azure Portal / PowerShell中的RBAC分配(或删除)正确的角色,例如Owner或Virtual Machine Contributor来控制谁可以一般管理VM或启动/禁用磁盘加密的真正问题。等
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?