Model enkripsi data

Pemahaman tentang berbagai model enkripsi serta pro dan kontra sangat penting untuk memahami bagaimana berbagai penyedia sumber daya di Azure menerapkan enkripsi Tidak aktif. Definisi ini dibagikan di semua penyedia sumber daya di Azure untuk memastikan bahasa dan taksonomi umum.

Ada tiga skenario untuk enkripsi sisi server:

  • Enkripsi sisi server menggunakan kunci yang Dikelola Layanan

    • Penyedia Sumber Daya Azure melakukan operasi enkripsi dan dekripsi
    • Microsoft mengelola kunci
    • Fungsionalitas cloud penuh
  • Enkripsi sisi server yang menggunakan kunci yang dikelola pelanggan di Azure Key Vault

    • Penyedia Sumber Daya Azure melakukan operasi enkripsi dan dekripsi
    • Kunci kontrol pelanggan melalui Azure Key Vault
    • Fungsionalitas cloud penuh
  • Enkripsi sisi server menggunakan kunci yang dikelola pelanggan pada perangkat keras yang dikontrol pelanggan

    • Penyedia Sumber Daya Azure melakukan operasi enkripsi dan dekripsi
    • Pelanggan mengontrol kunci pada perangkat keras yang dikontrol pelanggan
    • Fungsionalitas cloud penuh

Model Enkripsi sisi server mengacu pada enkripsi yang dilakukan oleh layanan Azure. Dalam model itu, Penyedia Sumber Daya melakukan operasi enkripsi dan dekripsi. Misalnya, Azure Storage dapat menerima data dalam operasi teks biasa dan akan melakukan enkripsi dan dekripsi secara internal. Penyedia Sumber Daya mungkin menggunakan kunci enkripsi yang dikelola oleh Microsoft atau oleh pelanggan tergantung pada konfigurasi yang disediakan.

Server

Masing-masing model enkripsi tidak aktif sisi server menyiratkan karakteristik khas manajemen kunci. Ini termasuk di mana dan bagaimana kunci enkripsi dibuat, dan disimpan serta model akses dan prosedur rotasi kunci.

Untuk enkripsi pihak klien, pertimbangkan hal berikut:

  • Layanan Azure tidak dapat melihat data yang didekripsi
  • Pelanggan mengelola dan menyimpan kunci secara lokal (atau di toko aman lainnya). Kunci tidak tersedia untuk layanan Azure
  • Fungsionalitas cloud penuh

Model enkripsi yang didukung di Azure dibagi menjadi dua grup utama: "Enkripsi Klien" dan "Enkripsi Sisi Server" seperti yang disebutkan sebelumnya. Terlepas dari model enkripsi tidak aktif yang digunakan, layanan Azure selalu merekomendasikan penggunaan transportasi yang aman seperti TLS atau HTTPS. Oleh karena itu, enkripsi dalam transportasi harus diatasi oleh protokol transportasi dan tidak boleh menjadi faktor utama dalam menentukan model enkripsi tidak aktif mana yang digunakan.

Model enkripsi klien

Model Enkripsi klien mengacu pada enkripsi yang dilakukan di luar Penyedia Sumber Daya atau Azure oleh layanan atau aplikasi panggilan. Enkripsi dapat dilakukan oleh aplikasi layanan di Azure, atau oleh aplikasi yang berjalan di pusat data pelanggan. Dalam kedua kasus, saat memanfaatkan model enkripsi ini, Penyedia Sumber Daya Azure menerima blob data terenkripsi tanpa kemampuan untuk mendekripsi data dengan cara apa pun atau memiliki akses ke kunci enkripsi. Dalam model ini, manajemen kunci dilakukan oleh layanan/aplikasi panggilan dan bersifat buram untuk layanan Azure.

Client

Enkripsi sisi server menggunakan kunci yang dikelola layanan

Bagi banyak pelanggan, persyaratan penting adalah memastikan bahwa data dienkripsi saat tidak aktif. Enkripsi sisi server menggunakan Kunci yang dikelola layanan memungkinkan model ini dengan memungkinkan pelanggan untuk menandai sumber daya tertentu (Akun Storage, SQL DB, dll.) untuk enkripsi dan meninggalkan semua aspek manajemen utama seperti penerbitan kunci, rotasi, dan backup ke Microsoft. Sebagian besar layanan Azure yang mendukung enkripsi tidak aktif biasanya mendukung model ini untuk melakukan offload manajemen kunci enkripsi ke Azure. Penyedia sumber daya Azure membuat kunci, menempatkannya di penyimpanan yang aman, dan mengambilnya saat diperlukan. Ini berarti bahwa layanan memiliki akses penuh ke kunci dan layanan memiliki kontrol penuh atas manajemen siklus hidup info masuk.

managed

Enkripsi sisi server menggunakan kunci yang dikelola layanan oleh karena itu dengan cepat mengatasi kebutuhan untuk memiliki enkripsi tidak aktif dengan overhead rendah kepada pelanggan. Saat tersedia, pelanggan biasanya membuka portal Azure untuk target langganan dan penyedia sumber daya dan memeriksa kotak yang menunjukkan, mereka ingin data dienkripsi. Di beberapa enkripsi sisi server Resource Manager dengan kunci yang dikelola layanan aktif secara default.

Enkripsi sisi server dengan kunci yang dikelola Microsoft memang menyiratkan layanan memiliki akses penuh untuk menyimpan dan mengelola kunci. Sementara beberapa pelanggan mungkin ingin mengelola kunci karena mereka merasa mendapatkan keamanan yang lebih besar, biaya dan risiko yang terkait dengan solusi penyimpanan kunci khusus harus dipertimbangkan saat mengevaluasi model ini. Dalam banyak kasus, organisasi dapat menentukan bahwa batasan sumber daya atau risiko solusi lokal mungkin lebih besar daripada risiko manajemen cloud kunci enkripsi tidak aktif. Namun, model ini mungkin tidak cukup bagi organisasi yang memiliki persyaratan untuk mengontrol pembuatan atau siklus hidup kunci enkripsi atau memiliki personel yang berbeda mengelola kunci enkripsi layanan daripada yang mengelola layanan (yaitu, pemisahan manajemen kunci dari model manajemen keseluruhan untuk layanan).

Akses kunci

Saat Enkripsi sisi server dengan kunci yang dikelola layanan digunakan, pembuatan kunci, penyimpanan, dan akses layanan semuanya dikelola oleh layanan. Biasanya, penyedia sumber daya Azure dasar akan menyimpan Kunci Enkripsi Data di toko yang dekat dengan data dan dengan cepat tersedia dan dapat diakses saat Kunci Enkripsi Kunci disimpan di penyimpanan internal yang aman.

Kelebihan

  • Pengaturan sederhana
  • Microsoft mengelola rotasi kunci, pencadangan, dan redundansi
  • Pelanggan tidak memiliki biaya yang terkait dengan penerapan atau risiko skema manajemen kunci kustom.

Kekurangan

  • Tidak ada kontrol pelanggan atas kunci enkripsi (spesifikasi utama, siklus hidup, pencabutan, dll.)
  • Tidak ada kemampuan untuk memisahkan manajemen kunci dari model manajemen keseluruhan untuk layanan

Enkripsi sisi server yang menggunakan kunci yang dikelola pelanggan di Azure Key Vault

Untuk skenario saat persyaratannya adalah mengenkripsi data tidak aktif dan mengontrol kunci enkripsi pelanggan dapat menggunakan enkripsi sisi server menggunakan Kunci yang dikelola pelanggan di Key Vault. Beberapa layanan mungkin hanya menyimpan Kunci Enkripsi Kunci akar di Azure Key Vault dan menyimpan Kunci Enkripsi Data terenkripsi di lokasi internal yang lebih dekat dengan data. Dalam skenario tersebut, pelanggan dapat membawa kunci mereka sendiri ke Key Vault (BYOK - Bring Your Own Key), atau membuat yang baru, dan menggunakannya untuk mengenkripsi sumber daya yang diinginkan. Sementara Penyedia Sumber Daya melakukan operasi enkripsi dan dekripsi, Penyedia Sumber Daya menggunakan kunci enkripsi kunci yang dikonfigurasi sebagai kunci akar untuk semua operasi enkripsi.

Kehilangan kunci enkripsi utama berarti kehilangan data. Untuk alasan ini, kunci tidak boleh dihapus. Kunci harus dicadangkan setiap kali dibuat atau diputar. Perlindungan Penghapusan Sementara dan penghapusan menyeluruh diaktifkan pada vault apa pun yang menyimpan kunci enkripsi kunci untuk melindungi dari penghapusan kriptografi yang tidak disengaja atau berbahaya. Alih-alih menghapus kunci, disarankan untuk mengatur diaktifkan ke false pada kunci enkripsi kunci.

Akses Kunci

Model enkripsi sisi server dengan kunci yang dikelola pelanggan di Azure Key Vault melibatkan layanan yang mengakses kunci untuk mengenkripsi dan mendekripsi sesuai kebutuhan. Enkripsi pada kunci tidak aktif dapat diakses oleh layanan melalui kebijakan kontrol akses. Kebijakan ini memberikan akses identitas layanan untuk menerima kunci. Layanan Azure yang berjalan atas nama langganan terkait dapat dikonfigurasi dengan identitas dalam langganan tersebut. Layanan ini dapat melakukan autentikasi Azure Active Directory dan menerima token autentikasi yang mengidentifikasi dirinya sebagai layanan yang bertindak atas nama langganan. Token tersebut kemudian dapat diberikan ke Key Vault untuk mendapatkan kunci yang telah diberikan akses.

Untuk operasi menggunakan kunci enkripsi, identitas layanan dapat diberikan akses ke salah satu operasi berikut: mendekripsi, mengenkripsi, unwrapKey, wrapKey, memverifikasi, menandatangani, mendapatkan, daftar, memperbarui, membuat, mengimpor, menghapus, mencadangkan, dan memulihkan.

Untuk mendapatkan kunci untuk digunakan dalam mengenkripsi atau mendekripsi data tidak aktif, identitas layanan yang akan dijalankan oleh instans layanan Resource Manager harus memiliki UnwrapKey (untuk mendapatkan kunci dekripsi) dan WrapKey (untuk memasukkan kunci ke dalam brankas kunci saat membuat kunci baru).

Catatan

Untuk detail selengkapnya tentang otorisasi Key Vault, lihat halaman amankan brankas kunci Anda di Dokumentasi Azure Key Vault.

Kelebihan

  • Kontrol penuh atas kunci yang digunakan – kunci enkripsi dikelola di Key Vault pelanggan di bawah kontrol pelanggan.
  • Kemampuan untuk mengenkripsi beberapa layanan ke satu master
  • Dapat memisahkan manajemen kunci dari model manajemen keseluruhan untuk layanan
  • Dapat menentukan layanan dan lokasi utama di seluruh wilayah

Kekurangan

  • Pelanggan memiliki tanggung jawab penuh atas manajemen akses kunci
  • Pelanggan memiliki tanggung jawab penuh atas manajemen siklus hidup kunci
  • Overhead konfigurasi Penyetelan Tambahan &

Enkripsi sisi server yang menggunakan kunci yang dikelola pelanggan pada perangkat keras yang dikontrol pelanggan

Beberapa layanan Azure mengaktifkan model manajemen kunci Host Your Own Key (HYOK). Mode manajemen ini berguna dalam skenario saat ada kebutuhan untuk mengenkripsi data tidak aktif dan mengelola kunci dalam repositori kepemilikan di luar kontrol Microsoft. Dalam model ini, layanan harus mengambil kunci dari situs eksternal. Jaminan performa dan ketersediaan terpengaruh, dan konfigurasi lebih kompleks. Selain itu, karena layanan ini memiliki akses ke DEK selama operasi enkripsi dan dekripsi, jaminan keamanan keseluruhan model ini mirip dengan saat kunci dikelola pelanggan di Azure Key Vault. Akibatnya, model ini tidak sesuai untuk sebagian besar organisasi kecuali mereka memiliki persyaratan manajemen kunci tertentu. Karena keterbatasan ini, sebagian besar layanan Azure tidak mendukung enkripsi sisi server menggunakan kunci yang dikelola server di perangkat keras yang dikontrol pelanggan.

Akses Kunci

Saat enkripsi sisi server menggunakan kunci yang dikelola layanan dalam perangkat keras yang dikontrol pelanggan digunakan, kunci dipertahankan pada sistem yang dikonfigurasi oleh pelanggan. Layanan Azure yang mendukung model ini menyediakan sarana untuk membuat koneksi aman ke toko kunci yang disediakan pelanggan.

Kelebihan

  • Kontrol penuh atas kunci akar yang digunakan – kunci enkripsi dikelola oleh toko yang disediakan pelanggan
  • Kemampuan untuk mengenkripsi beberapa layanan ke satu master
  • Dapat memisahkan manajemen kunci dari model manajemen keseluruhan untuk layanan
  • Dapat menentukan layanan dan lokasi utama di seluruh wilayah

Kekurangan

  • Tanggung jawab penuh untuk penyimpanan utama, keamanan, performa, dan ketersediaan
  • Tanggung jawab penuh untuk manajemen akses utama
  • Tanggung jawab penuh untuk manajemen siklus hidup kunci
  • Penyiapan, konfigurasi, dan biaya pemeliharaan yang berkelanjutan yang signifikan
  • Peningkatan dependensi pada ketersediaan jaringan antara pusat data pelanggan dan pusat data Azure.

Layanan pendukung

Layanan Azure yang mendukung setiap model enkripsi:

Produk, Fitur, atau Layanan Sisi Server Menggunakan Kunci yang Dikelola Layanan Sisi Server Menggunakan Kunci yang Dikelola Pelanggan Sisi Klien Menggunakan Kunci yang Dikelola Klien
AI dan Pembelajaran Mesin
Azure Cognitive Search Ya Ya -
Azure Cognitive Services Ya Ya -
Pembelajaran Mesin Azure Ya Ya -
Moderator Konten Ya Ya -
Wajah Ya Ya -
Pemahaman Bahasa Ya Ya -
Personalizer Ya Ya -
QnA Maker Ya Ya -
Layanan Ucapan Ya Ya -
Translator Text Ya Ya -
Power BI Ya Ya, RSA 4096 bit -
Analitik
Azure Stream Analytics Ya Ya** -
Event Hubs Ya Ya -
Fungsi Ya Ya -
Azure Analysis Services Ya - -
Azure Data Catalog Ya - -
Azure HDInsight Ya Semua -
Azure Monitor Application Insights Ya Ya -
Analitik Log Azure Monitor Ya Ya -
Azure Data Explorer Ya Ya -
Azure Data Factory Ya Ya -
Azure Data Lake Store Ya Ya, RSA 2048 bit -
Kontainer
Azure Kubernetes Service Ya Ya -
Container Instances Ya Ya -
Container Registry Ya Ya -
Compute
Komputer Virtual Ya Ya -
Set Skala Komputer Virtual Ya Ya -
SAP Hana Ya Ya -
App Service Ya Ya** -
Automation Ya Ya** -
Azure Functions Ya Ya** -
portal Microsoft Azure Ya Ya** -
Logic Apps Ya Ya -
Aplikasi yang dikelola Azure Ya Ya** -
Service Bus Ya Ya -
Pemulihan Situs Ya Ya -
Database
SQL Server on Virtual Machines Ya Ya Ya
Azure SQL Database Ya Ya, RSA 3072 bit Ya
Azure SQL Database for MariaDB Ya - -
Azure SQL Database for MySQL Ya Ya -
Azure SQL Database for PostgreSQL Ya Ya -
Azure Synapse Analytics Ya Ya, RSA 3072 bit -
SQL Server Stretch Database Ya Ya, RSA 3072 bit Ya
Table Storage Ya Ya Ya
Azure Cosmos DB Ya (pelajari selengkapnya) Ya (pelajari selengkapnya) -
Azure Databricks Ya Ya -
Layanan Migrasi Database Azure Ya N/A* -
Identitas
Azure Active Directory Ya - -
Layanan Domain Direktori Aktif Azure Ya Ya -
Integrasi
Service Bus Ya Ya Ya
Event Grid Ya - -
API Management Ya - -
Layanan IoT
IoT Hub Ya Ya Ya
IoT Hub Device Provisioning Ya Ya -
Manajemen dan Tata Kelola
Azure Site Recovery Ya - -
Azure Migrate Ya Ya -
Media
Media Services Ya Ya Ya
Keamanan
Microsoft Defender for IoT Ya Ya -
Microsoft Sentinel Ya Ya -
Penyimpanan
Penyimpanan Blob Ya Ya Ya
Blob Storage Premium Ya Ya Ya
Penyimpanan Disk Ya Ya -
Penyimpanan Disk Ultra Ya Ya -
Penyimpanan Disk Terkelola Ya Ya -
Penyimpanan File Ya Ya -
Penyimpanan Premium File Ya Ya -
Sinkronisasi File Ya Ya -
Queue Storage Ya Ya Ya
Avere vFXT Ya - -
Azure Cache untuk Redis Ya N/A* -
File Azure NetApp Ya Ya -
Penyimpanan Arsip Ya Ya -
StorSimple Ya Ya Ya
Pencadangan Azure Ya Ya Ya
Data Box Ya - Ya
Tepi Data Box Ya Ya -

* Layanan ini tidak memiliki data. Cache sementara, jika ada, dienkripsi dengan kunci Microsoft.

** Layanan ini mendukung penyimpanan data di Key Vault, Akun Storage Anda sendiri, atau layanan data lain yang sudah mendukung enkripsi Server-Side dengan Kunci Customer-Managed.

Langkah berikutnya