Mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data

Azure Storage secara otomatis mengenkripsi semua data dalam akun penyimpanan di tingkat layanan menggunakan AES 256-bit dengan enkripsi mode GCM, salah satu cipher blok terkuat yang tersedia, dan mematuhi FIPS 140-2. Pelanggan yang memerlukan tingkat jaminan yang lebih tinggi bahwa data mereka aman juga dapat mengaktifkan AES 256-bit dengan enkripsi CBC di tingkat infrastruktur Azure Storage untuk enkripsi ganda. Enkripsi ganda data Azure Storage melindungi dari skenario di mana salah satu algoritma atau kunci enkripsi mungkin disusupi. Dalam skenario ini, lapisan enkripsi tambahan terus melindungi data Anda.

Enkripsi infrastruktur dapat diaktifkan untuk seluruh akun penyimpanan, atau untuk cakupan enkripsi di dalam akun. Saat enkripsi infrastruktur diaktifkan untuk akun penyimpanan atau cakupan enkripsi, data dienkripsi dua kali — sekali di tingkat layanan dan sekali di tingkat infrastruktur — dengan dua algoritma enkripsi yang berbeda serta dua kunci yang berbeda.

Enkripsi tingkat layanan mendukung penggunaan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan dengan Azure Key Vault atau Model Keamanan Perangkat Keras Terkelola (HSM) Key Vault. Enkripsi tingkat infrastruktur bergantung pada kunci yang dikelola Microsoft dan selalu menggunakan kunci terpisah. Untuk informasi selengkapnya tentang manajemen kunci dengan enkripsi Azure Storage, lihat Tentang manajemen kunci enkripsi.

Untuk mengenkripsi data dua kali lipat, Anda harus membuat akun penyimpanan atau cakupan enkripsi yang dikonfigurasi untuk enkripsi infrastruktur terlebih dahulu. Artikel ini menjelaskan cara mengaktifkan enkripsi infrastruktur.

Penting

Enkripsi infrastruktur direkomendasikan untuk skenario di mana enkripsi data doubly diperlukan untuk persyaratan kepatuhan. Untuk sebagian besar skenario lainnya, enkripsi Azure Storage menyediakan algoritma enkripsi yang cukup kuat, dan tidak mungkin ada manfaat untuk menggunakan enkripsi infrastruktur.

Membuat akun dengan enkripsi infrastruktur diaktifkan

Untuk mengaktifkan enkripsi infrastruktur untuk akun penyimpanan, Anda harus mengonfigurasi akun penyimpanan yang akan menggunakan enkripsi infrastruktur pada saat Anda membuat akun. Enkripsi infrastruktur tidak dapat diaktifkan atau dinonaktifkan setelah akun dibuat. Akun penyimpanan harus berjenis v2 tujuan umum atau blob blok premium.

Portal Azure

Untuk menggunakan portal Microsoft Azure untuk membuat akun penyimpanan dengan enkripsi infrastruktur yang diaktifkan, ikuti langkah-langkah berikut:

1. Di portal Microsoft Azure, navigasi ke halaman Akun penyimpanan.

2. Pilih tombol Tambahkan untuk menambahkan akun penyimpanan v2 tujuan umum baru atau blob blok premium.

3. Pada tab Enkripsi , temukan Aktifkan enkripsi infrastruktur, dan pilih Diaktifkan.

4. Pilih Tinjau + buat untuk menyelesaikan pembuatan akun penyimpanan.

   

Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

1. Navigasikan ke akun penyimpanan Anda di portal Microsoft Azure.

2. Di bawah Keamanan + jaringan, pilih Enkripsi.

   

PowerShell

Untuk menggunakan PowerShell untuk membuat akun penyimpanan dengan enkripsi infrastruktur diaktifkan, pastikan Anda telah menginstal modul Az.Storage PowerShell versi 2.2.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Memasang Azure PowerShell.

Selanjutnya, buat akun penyimpanan v2 tujuan umum atau blob blok premium dengan memanggil perintah New-AzStorageAccount. Sertakan opsi -RequireInfrastructureEncryption untuk mengaktifkan enkripsi infrastruktur.

Contoh berikut menunjukkan cara membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan, panggil perintah Get-AzStorageAccount. Perintah ini mengembalikan set properti akun penyimpanan dan nilainya. Ambil bidang RequireInfrastructureEncryption dalam properti Encryption dan verifikasi bahwa bidang tersebut diatur ke True.

Contoh berikut mengambil nilai properti RequireInfrastructureEncryption. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Azure CLI

Untuk menggunakan Azure CLI untuk membuat akun penyimpanan yang mengaktifkan enkripsi infrastruktur, pastikan Anda telah menginstal Azure CLI versi 2.8.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Menginstal Azure CLI.

Selanjutnya, buat akun penyimpanan v2 tujuan umum atau blob blok premium dengan memanggil perintah az storage account create dan sertakan --require-infrastructure-encryption option untuk mengaktifkan enkripsi infrastruktur.

Contoh berikut menunjukkan cara membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan, panggil perintah tampilkan akun penyimpanan az. Perintah ini mengembalikan set properti akun penyimpanan dan nilainya. Cari bidang requireInfrastructureEncryption dalam properti encryption dan verifikasi bahwa bidang tersebut diatur ke true.

Contoh berikut mengambil nilai properti requireInfrastructureEncryption. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Templat

Contoh JSON berikut membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure Policy menyediakan kebijakan bawaan yang mewajibkan enkripsi infrastruktur diaktifkan untuk akun penyimpanan. Untuk informasi selengkapnya, lihat bagian Penyimpanan di definisi kebijakan bawaan Azure Policy.

Membuat cakupan enkripsi dengan enkripsi infrastruktur yang diaktifkan

Jika enkripsi infrastruktur diaktifkan untuk akun, setiap lingkup enkripsi yang dibuat pada akun tersebut otomatis menggunakan enkripsi infrastruktur. Jika enkripsi infrastruktur tidak diaktifkan di tingkat akun, Anda memiliki opsi untuk mengaktifkannya bagi cakupan enkripsi pada saat membuat cakupan. Setelan enkripsi infrastruktur untuk cakupan enkripsi tidak dapat diubah setelah cakupan dibuat. Untuk informasi selengkapnya, lihat Membuat cakupan enkripsi.

Langkah berikutnya

• Enkripsi Layanan Azure Storage untuk data yang tidak digunakan
• Kunci yang dikelola pelanggan untuk enkripsi Azure Storage
• Cakupan enkripsi untuk penyimpanan Blob