Enkripsi sisi server Azure Disk Storage

  • Artikel
  • 10 menit untuk membaca

Berlaku untuk: ✔️ Mesin virtual Linux ✔️ Mesin virtual Windows ✔️ Set skala fleksibel ✔️ Set skala seragam

Sebagian besar disk terkelola Azure dienkripsi dengan enkripsi Azure Storage, yang menggunakan enkripsi sisi server (SSE) untuk melindungi data Anda dan untuk membantu Anda memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Azure Storage secara otomatis mengenkripsi data Anda yang disimpan di disk terkelola Azure (disk data dan OS) secara default saat tidak aktif saat menyimpannya ke cloud. Disk dengan enkripsi di host diaktifkan, namun, tidak dienkripsi melalui Azure Storage. Untuk disk dengan enkripsi di host diaktifkan, server yang menghosting komputer virtual Anda menyediakan enkripsi untuk data Anda, dan data terenkripsi mengalir ke Azure Storage.

Data di disk yang dikelola Azure dienkripsi secara transparan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia, dan sesuai dengan FIPS 140-2. Untuk informasi selengkapnya tentang modul kriptografi yang mendasari disk yang dikelola Azure, lihat API Kriptografi: Generasi Berikutnya

Enkripsi Azure Storage tidak memengaruhi performa disk terkelola dan tidak ada biaya tambahan. Untuk informasi selengkapnya tentang enkripsi Azure Storage, lihat Enkripsi Azure Storage.

Catatan

Disk sementara bukan disk yang dikelola dan tidak dienkripsi oleh SSE, kecuali jika Anda mengaktifkan enkripsi di host.

Tentang manajemen kunci enkripsi

Anda dapat mengandalkan kunci yang dikelola platform untuk enkripsi disk yang dikelola, atau Anda dapat mengelola enkripsi menggunakan kunci Anda sendiri. Jika Anda memilih untuk mengelola enkripsi dengan kunci Anda sendiri, Anda dapat menentukan kunci yang dikelola pelanggan untuk digunakan mengenkripsi dan mendekripsi semua data dalam disk yang dikelola.

Bagian berikut ini menjelaskan masing-masing opsi untuk manajemen kunci secara lebih rinci.

Kunci yang dikelola platform

Secara default, disk yang dikelola menggunakan kunci enkripsi yang dikelola platform. Semua disk terkelola, rekam jepret, gambar, dan data yang ditulis ke disk terkelola yang ada secara otomatis dienkripsi saat tidak aktif dengan kunci yang dikelola platform.

Kunci yang dikelola pelanggan

Anda dapat memilih untuk mengelola enkripsi pada tingkat setiap disk terkelola, dengan kunci Anda sendiri. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Kunci yang dikelola pelanggan menawarkan fleksibilitas yang lebih besar untuk mengelola kontrol akses.

Anda harus menggunakan salah satu penyimpanan kunci Azure berikut ini untuk menyimpan kunci yang dikelola pelanggan Anda:

Anda dapat mengimpor kunci RSA ke Key Vault atau menghasilkan kunci RSA baru di Azure Key Vault. Disk yang dikelola Azure menangani enkripsi dan dekripsi dengan cara yang sepenuhnya transparan menggunakan enkripsi amplop. Ini mengenkripsi data menggunakan kunci enkripsi data (DEK) berbasis AES 256, yang dilindungi menggunakan kunci Anda. Layanan Penyimpanan menghasilkan kunci enkripsi data dan mengenkripsinya dengan kunci yang dikelola pelanggan menggunakan enkripsi RSA. Enkripsi amplop memungkinkan Anda memutar (mengubah) kunci secara berkala sesuai kebijakan kepatuhan tanpa memengaruhi VM Anda. Saat Anda memutar kunci, layanan Penyimpanan mengenkripsi ulang kunci enkripsi data dengan kunci baru yang dikelola pelanggan.

Akun penyimpanan dan brankas kunci atau HSM terkelola harus berada di wilayah dan di penyewa Azure Active Directory (Azure AD) yang sama, tetapi mereka dapat berada di langganan yang berbeda.

Kontrol penuh atas kunci Anda

Anda harus memberikan akses ke disk terkelola di Key Vault untuk menggunakan kunci Anda guna mengenkripsi dan mendekripsi DEK. Ini memungkinkan Anda memiliki kontrol penuh atas data dan kunci Anda. Anda dapat menonaktifkan kunci atau mencabut akses ke disk terkelola kapan saja. Anda juga dapat mengaudit penggunaan kunci enkripsi dengan pemantauan Azure Key Vault untuk memastikan bahwa hanya disk terkelola atau layanan Azure tepercaya lainnya yang mengakses kunci Anda.

Saat Anda menonaktifkan atau menghapus kunci, VM apa pun dengan disk yang menggunakan kunci tersebut akan dimatikan secara otomatis. Setelah ini, VM tidak akan dapat digunakan kecuali jika kunci diaktifkan lagi atau Anda menetapkan kunci baru.

Diagram berikut menunjukkan bagaimana disk terkelola menggunakan Azure Active Directory dan Azure Key Vault untuk membuat permintaan menggunakan kunci yang dikelola pelanggan:

Disk terkelola dan alur kerja kunci yang dikelola pelanggan. Admin membuat Azure Key Vault, lalu membuat kumpulan enkripsi disk, dan menyiapkan kumpulan enkripsi disk. Kumpulan ini dikaitkan dengan VM, yang memungkinkan disk untuk menggunakan Azure AD untuk autentikasi

Daftar berikut ini menjelaskan diagram secara lebih rinci:

  1. Administrator Azure Key Vault membuat sumber daya brankas kunci.
  2. Admin brankas kunci mengimpor kunci RSA mereka ke Key Vault atau menghasilkan kunci RSA baru di Key Vault.
  3. Administrator tersebut membuat instans sumber daya Kumpulan Enkripsi Disk, yang menentukan ID Azure Key Vault dan URL kunci. Kumpulan Enkripsi Disk adalah sumber daya baru yang diperkenalkan untuk menyederhanakan manajemen kunci untuk disk terkelola.
  4. Saat kumpulan enkripsi disk dibuat, identitas terkelola yang ditetapkan sistem dibuat di Azure Active Directory (AD) dan dikaitkan dengan kumpulan enkripsi disk.
  5. Administrator brankas kunci Azure kemudian memberikan izin identitas terkelola untuk melakukan operasi di brankas kunci.
  6. Pengguna VM membuat disk dengan mengaitkannya dengan kumpulan enkripsi disk. Pengguna VM juga dapat mengaktifkan enkripsi sisi server dengan kunci yang dikelola pelanggan untuk sumber daya yang ada dengan mengaitkannya ke kumpulan enkripsi disk.
  7. Disk terkelola menggunakan identitas terkelola untuk mengirim permintaan ke Azure Key Vault.
  8. Untuk membaca atau menulis data, disk terkelola mengirim permintaan ke Azure Key Vault untuk mengenkripsi (membungkus) dan mendekripsi (membuka bungkus) kunci enkripsi data untuk melakukan enkripsi dan dekripsi data.

Untuk mencabut akses ke kunci yang dikelola pelanggan, lihat Azure Key Vault PowerShell dan Azure Key Vault CLI. Mencabut akses secara efektif memblokir akses ke semua data di akun penyimpanan, karena kunci enkripsi tidak dapat diakses oleh Azure Storage.

Rotasi kunci otomatis dari kunci yang dikelola pelanggan

Anda dapat memilih untuk mengaktifkan rotasi kunci otomatis ke versi kunci terbaru. Disk mereferensikan kunci melalui kumpulan enkripsi disknya. Ketika Anda mengaktifkan rotasi otomatis untuk kumpulan enkripsi disk, sistem akan secara otomatis memperbarui semua disk, salinan bayangan, dan citra yang dikelola yang mereferensikan kumpulan enkripsi disk tersebut agar menggunakan versi baru kunci dalam waktu satu jam. Untuk mempelajari cara mengaktifkan kunci yang dikelola pelanggan dengan rotasi kunci otomatis, lihat Menyiapkan Azure Key Vault dan DiskEncryptionSet dengan rotasi kunci otomatis.

Batasan

Untuk saat ini, kunci yang dikelola pelanggan memiliki batasan berikut:

  • Jika fitur ini diaktifkan untuk disk Anda, Anda tidak bisa menonaktifkannya. Jika Anda perlu mengerjakannya, Anda harus menyalin semua data menggunakan modul Azure PowerShell atau Azure CLI, ke disk terkelola yang sama sekali berbeda yang tidak menggunakan kunci yang dikelola pelanggan.
  • Hanya kunci RSA perangkat lunak dan HSM dengan ukuran 2.048-bit, 3.072-bit, dan 4.096-bit yang didukung, tidak ada kunci atau ukuran lain.
    • Kunci HSM memerlukan tingkat premium Azure Key Vault.
  • Disk yang dibuat dari gambar kustom yang dienkripsi menggunakan enkripsi sisi server dan kunci yang dikelola pelanggan harus dienkripsi menggunakan kunci yang dikelola pelanggan yang sama dan harus dalam langganan yang sama.
  • Rekam jepret yang dibuat dari disk yang dienkripsi dengan enkripsi sisi server dan kunci yang dikelola pelanggan harus dienkripsi dengan kunci yang dikelola pelanggan yang sama.
  • Semua sumber daya yang terkait dengan kunci yang dikelola pelanggan (Azure Key Vault, set enkripsi disk, VM, disk, dan snapshot) harus berada dalam langganan dan wilayah yang sama.
    • Azure Key Vaults dapat digunakan dari langganan yang berbeda tetapi harus berada di wilayah dan penyewa yang sama dengan set enkripsi disk Anda.
  • Disk, rekam jepret, dan gambar yang dienkripsi dengan kunci yang dikelola pelanggan tidak dapat dipindahkan ke grup sumber daya dan langganan lain.
  • Disk yang dikelola saat ini atau sebelumnya dienkripsi menggunakan Azure Disk Encryption tidak dapat dienkripsi menggunakan kunci yang dikelola pelanggan.
  • Hanya dapat membuat hingga 1000 set enkripsi disk di setiap wilayah per langganan.
  • Untuk informasi tentang menggunakan kunci yang dikelola pelanggan dengan galeri gambar bersama, lihat Pratinjau: Menggunakan kunci yang dikelola pelanggan untuk mengenkripsi gambar.

Wilayah yang didukung

Kunci yang dikelola pelanggan tersedia di semua wilayah yang tersedia disk terkelola.

Penting

Kunci yang dikelola pelanggan bergantung pada identitas terkelola untuk sumber daya Azure, yaitu fitur Microsoft Azure Active Directory. Saat Anda mengonfigurasi kunci yang dikelola pelanggan, identitas terkelola secara otomatis ditetapkan ke sumber daya Anda di bawah perlindungan. Jika Anda memindahkan langganan, grup sumber daya, atau disk terkelola dari satu direktori Microsoft Azure Active Directory ke direktori lainnya, identitas terkelola yang terkait dengan akun penyimpanan tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antar direktori Microsoft Azure Active Directory.

Untuk mengaktifkan kunci yang dikelola pelanggan untuk disk terkelola, lihat artikel kami yang membahas cara mengaktifkannya dengan modul Azure PowerShell, Azure CLI, atau Portal Azure.

Enkripsi di host - Enkripsi menyeluruh untuk data komputer virtual Anda

Saat Anda mengaktifkan enkripsi di host, enkripsi itu dimulai pada host komputer virtual itu sendiri, server Azure tempat komputer virtual Anda dialokasikan. Data untuk disk sementara dan cache disk data/OS disimpan di host komputer virtual tersebut. Setelah mengaktifkan enkripsi di host, semua data ini dienkripsi saat tidak aktif dan mengalir dienkripsi ke layanan Penyimpanan, di mana data ini tetap ada. Pada dasarnya, enkripsi di host mengenkripsi data Anda secara menyeluruh. Enkripsi di host tidak menggunakan CPU komputer virtual Anda dan tidak memengaruhi performa komputer virtual Anda.

Disk sementara dan disk OS sementara dienkripsi saat tidak aktif dengan kunci yang dikelola platform saat Anda mengaktifkan enkripsi menyeluruh. Cache disk data/OS dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, tergantung pada jenis enkripsi yang dipilih pada disk. Misalnya, jika disk dienkripsi dengan kunci yang dikelola pelanggan, maka cache untuk disk dienkripsi dengan kunci yang dikelola pelanggan, dan jika disk dienkripsi dengan kunci yang dikelola platform maka cache untuk disk dienkripsi dengan kunci yang dikelola platform.

Batasan

  • Tidak mendukung ultra disk.
  • Tidak dapat diaktifkan jika Azure Disk Encryption (enkripsi tamu-VM menggunakan bitlocker/DM-Crypt) diaktifkan pada set skala mesin virtual/VM Anda.
  • Azure Disk Encryption tidak dapat diaktifkan pada disk yang memiliki enkripsi di host yang diaktifkan.
  • Enkripsi dapat diaktifkan pada set skala komputer virtual yang ada. Namun, hanya VM baru yang dibuat setelah mengaktifkan enkripsi yang dienkripsi secara otomatis.
  • VM yang ada harus dibatalkan alokasinya dan dialokasikan kembali untuk dienkripsi.
  • Mendukung disk OS sementara, tetapi hanya dengan kunci yang dikelola platform.

Ukuran Komputer Virtual yang didukung

Daftar lengkap ukuran Komputer Virtual yang didukung dapat ditarik secara terprogram. Untuk mempelajari cara mengambilnya secara terprogram, lihat bagian ukuran komputer virtual yang didukung dari modul Azure PowerShell atau artikel Azure CLI.

Untuk mengaktifkan enkripsi menyeluruh menggunakan enkripsi di host, lihat artikel kami yang membahas cara mengaktifkannya dengan modul Azure PowerShell, Azure CLI, atau Portal Azure.

Enkripsi ganda saat tidak aktif

Pelanggan yang sensitif terhadap keamanan tinggi yang mengkhawatirkan risiko yang terkait dengan algoritma enkripsi tertentu, implementasi, atau kunci yang disusupi sekarang dapat memilih lapisan enkripsi tambahan menggunakan algoritma/mode enkripsi yang berbeda pada lapisan infrastruktur menggunakan kunci enkripsi yang dikelola platform. Lapisan baru ini dapat diterapkan ke OS dan disk data, rekam jepret, dan gambar yang bertahan, yang semuanya akan dienkripsi saat tidak aktif dengan enkripsi ganda.

Wilayah yang didukung

Enkripsi ganda tersedia di semua wilayah tempat disk terkelola tersedia.

Untuk mengaktifkan kunci yang dikelola pelanggan untuk disk terkelola, lihat artikel kami yang membahas cara mengaktifkannya dengan modul Azure PowerShell, Azure CLI, atau Portal Azure.

Enkripsi sisi server versus enkripsi disk Azure

Azure Disk Encryption memanfaatkan fitur DM-Crypt Linux atau fitur BitLocker Windows untuk mengenkripsi disk terkelola dengan kunci yang dikelola pelanggan dalam komputer virtual tamu. Enkripsi sisi server dengan kunci yang dikelola pelanggan meningkat pada ADE dengan memungkinkan Anda menggunakan jenis dan gambar OS apa pun untuk komputer virtual Anda dengan mengenkripsi data di layanan Penyimpanan.

Penting

Kunci yang dikelola pelanggan bergantung pada identitas terkelola untuk sumber daya Azure, yaitu fitur Microsoft Azure Active Directory. Saat Anda mengonfigurasi kunci yang dikelola pelanggan, identitas terkelola secara otomatis ditetapkan ke sumber daya Anda di bawah perlindungan. Jika Anda memindahkan langganan, grup sumber daya, atau disk terkelola dari satu direktori Microsoft Azure Active Directory ke direktori lainnya, identitas terkelola yang terkait dengan disk terkelola tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antar direktori Microsoft Azure Active Directory.

Langkah berikutnya