为什么禁用AzureRmVMDiskEncryption不';不需要密钥加密密钥或磁盘加密密钥URL
Disable-AzureRmVMDiskEncryption cmdlet(我相信Disable=decryption)只需要一个VM名称即可禁用加密 禁用没有任何密钥的加密不是一个安全问题吗?如何通过RBAC保护磁盘不被禁用加密 禁用没有任何密钥的加密不是一个安全问题吗 这看起来不像是一个安全问题,因为这里有两个独立的问题:为什么禁用AzureRmVMDiskEncryption不';不需要密钥加密密钥或磁盘加密密钥URL,azure,encryption,azure-disk,Azure,Encryption,Azure Disk,Disable-AzureRmVMDiskEncryption cmdlet(我相信Disable=decryption)只需要一个VM名称即可禁用加密 禁用没有任何密钥的加密不是一个安全问题吗?如何通过RBAC保护磁盘不被禁用加密 禁用没有任何密钥的加密不是一个安全问题吗 这看起来不像是一个安全问题,因为这里有两个独立的问题: 保护静态数据-由Azure磁盘加密负责(仅当您按照Azure数据安全和加密最佳实践启用它时) 保护对VM本身及其资源的访问—这由RBAC负责 禁用磁盘加密时 它确实确保
静态加密增加的安全性非常小,因为任何攻击者都可以访问密钥和数据。这是一个骗局,旨在通过使用“加密”来假装更安全,从而遵守法规。使用数据旁边的密钥进行加密是毫无价值的。我认为这就是密钥加密密钥(kek)的作用所在。使用kek加密磁盘加密密钥并对其进行保护。但是,如果没有将适当的RBAC应用于VM加密权限,则任何有权访问VM的人都可以使用Disable-azurermvmdisknyption命令对其进行解密。