为什么禁用AzureRmVMDiskEncryption不'；不需要密钥加密密钥或磁盘加密密钥URL

Disable-AzureRmVMDiskEncryption cmdlet（我相信Disable=decryption）只需要一个VM名称即可禁用加密

禁用没有任何密钥的加密不是一个安全问题吗？如何通过RBAC保护磁盘不被禁用加密

禁用没有任何密钥的加密不是一个安全问题吗

这看起来不像是一个安全问题，因为这里有两个独立的问题：

保护静态数据-由Azure磁盘加密负责（仅当您按照Azure数据安全和加密最佳实践启用它时）

保护对VM本身及其资源的访问—这由RBAC负责

禁用磁盘加密时

它确实确保当前加密的数据被解密回来，并且在静止时不再加密

由于Azure从您首先启用加密时就已经知道有关密钥加密密钥（KEK）和磁盘加密密钥（DEK）的详细信息，因此它实际上不需要为了解密当前加密的信息而要求返回这些详细信息

以下是来自Microsoft文档的解密流的详细信息：

如何保护磁盘不被禁用加密，通过 RBAC

真正关心的问题是谁可以管理VM或启动/禁用磁盘加密，这可以通过分配（或删除）正确的角色来控制，例如从Azure Portal/PowerShell中分配或使用RBAC等

---

静态加密增加的安全性非常小，因为任何攻击者都可以访问密钥和数据。这是一个骗局，旨在通过使用“加密”来假装更安全，从而遵守法规。使用数据旁边的密钥进行加密是毫无价值的。我认为这就是密钥加密密钥（kek）的作用所在。使用kek加密磁盘加密密钥并对其进行保护。但是，如果没有将适当的RBAC应用于VM加密权限，则任何有权访问VM的人都可以使用Disable-azurermvmdisknyption命令对其进行解密。