Enkripsi Azure Storage untuk data tidak aktif

Azure Storage menggunakan enkripsi sisi server (SSE) untuk secara otomatis mengenkripsi data Anda saat disimpan ke awan. Enkripsi Azure Storage melindungi data Anda dan membantu Anda memenuhi komitmen kepatuhan dan keamanan organisasi Anda.

Tentang enkripsi Azure Storage

Data di Azure Storage dienkripsi dan didekripsi secara transparan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia, dan sesuai dengan FIPS 140-2. Enkripsi Azure Storage mirip dengan enkripsi BitLocker di Windows.

Enkripsi Azure Storage diaktifkan untuk semua akun penyimpanan, termasuk Resource Manager dan akun penyimpanan klasik. Enkripsi Azure Storage tidak dapat dinonaktifkan. Karena data Anda diamankan secara default, Anda tidak perlu mengubah kode atau aplikasi Anda untuk memanfaatkan enkripsi Azure Storage.

Data dalam akun penyimpanan dienkripsi terlepas dari tingkat kinerja (standar atau premium), tingkat akses (panas atau dingin), atau model penyebaran (Azure Resource Manager atau klasik). Semua blob di tingkat arsip juga dienkripsi. Semua opsi redundansi Azure Storage mendukung enkripsi, dan semua data di wilayah utama dan sekunder dienkripsi saat replikasi geografis diaktifkan. Semua sumber daya Azure Storage dienkripsi, termasuk blob, disk, file, antrean, dan tabel. Semua metadata objek juga dienkripsi. Tidak ada biaya tambahan untuk enkripsi Azure Storage.

Setiap blob blok, blob penambahan, atau blob halaman yang ditulis ke Azure Storage setelah 20 Oktober 2017 dienkripsi. Blob yang dibuat sebelum tanggal ini terus dienkripsi oleh proses latar belakang. Untuk memaksa enkripsi blob yang dibuat sebelum 20 Oktober 2017, Anda dapat menulis ulang blob. Untuk mempelajari cara memeriksa status enkripsi blob, lihat Memeriksa status enkripsi blob.

Untuk informasi selengkapnya tentang modul kriptografi yang mendasari enkripsi Azure Storage, lihat API Kriptografi: Generasi Berikutnya.

Untuk informasi tentang enkripsi dan manajemen kunci untuk disk yang dikelola Azure, lihat Enkripsi sisi server dari disk yang dikelola Azure.

Tentang manajemen kunci enkripsi

Data dalam akun penyimpanan baru dienkripsi dengan kunci yang dikelola Microsoft secara default. Anda dapat terus mengandalkan kunci yang dikelola Microsoft untuk enkripsi data Anda, atau Anda dapat mengelola enkripsi dengan kunci Anda sendiri. Jika Anda memilih untuk mengelola enkripsi dengan kunci Anda sendiri, Anda memiliki dua opsi. Anda dapat menggunakan salah satu jenis manajemen kunci, atau keduanya:

  • Anda dapat menentukan kunci yang dikelola pelanggan untuk digunakan untuk mengenkripsi dan mendekripsi data dalam penyimpanan Blob dan di Azure Files. 1,2 Kunci yang dikelola pelanggan harus tersimpan di Azure Key Vault atau Azure Key Vault Managed Hardware Security Model (HSM) (pratinjau). Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat Menggunakan kunci yang dikelola pelanggan untuk enkripsi Azure Storage.
  • Anda dapat menentukan kunci yang disediakan pelanggan pada operasi penyimpanan Blob. Klien yang membuat permintaan baca atau tulis pada penyimpanan Blob dapat menyertakan kunci enkripsi pada permintaan untuk kontrol terperinci akan bagaimana data blob dienkripsi dan didekripsi. Untuk informasi selengkapnya tentang kunci yang disediakan pelanggan, lihat Menyediakan kunci enkripsi pada permintaan ke penyimpanan Blob.

Tabel berikut membandingkan opsi manajemen kunci untuk enkripsi Azure Storage.

Parameter manajemen kunci Kunci yang dikelola Microsoft Kunci yang dikelola pelanggan Kunci yang disediakan pelanggan
Operasi enkripsi/dekripsi Azure Azure Azure
Layanan Azure Storage didukung Semua Penyimpanan Blob, Azure Files1,2 Penyimpanan Blob
Penyimpanan Kunci Penyimpanan kunci Microsoft Azure Key Vault atau Kunci Vault HSM Toko kunci pelanggan sendiri
Tanggung jawab rotasi kunci Microsoft Pelanggan Pelanggan
Kontrol kunci Microsoft Pelanggan Pelanggan

1 Untuk informasi tentang membuat akun yang mendukung penggunaan kunci yang dikelola pelanggan dengan penyimpanan Antrean, lihat Membuat akun yang mendukung kunci yang dikelola pelanggan untuk antrean.
2 Untuk informasi tentang membuat akun yang mendukung penggunaan kunci yang dikelola pelanggan dengan penyimpanan Tabel, lihat Membuat akun yang mendukung kunci yang dikelola pelanggan untuk tabel.

Catatan

Kunci yang dikelola Microsoft diputar sesuai persyaratan kepatuhan. Jika Anda memiliki persyaratan rotasi kunci tertentu, Microsoft merekomendasikan agar Anda beralih ke kunci yang dikelola pelanggan sehingga Anda dapat mengelola dan mengaudit rotasi sendiri.

Mengenkripsi data ganda dengan enkripsi infrastruktur

Pelanggan yang memerlukan tingkat jaminan yang lebih tinggi bahwa data mereka aman juga dapat mengaktifkan enkripsi AES 256-bit di tingkat infrastruktur Azure Storage. Saat enkripsi infrastruktur diaktifkan, data di akun penyimpanan dienkripsi dua kali — sekali di tingkat layanan dan sekali di tingkat infrastruktur — dengan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. Enkripsi ganda data Azure Storage melindungi dari skenario di mana salah satu algoritme atau kunci enkripsi mungkin dikompromikan. Dalam skenario ini, lapisan enkripsi tambahan terus melindungi data Anda.

Enkripsi tingkat layanan mendukung penggunaan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan dengan Azure Key Vault. Enkripsi tingkat infrastruktur bergantung pada kunci yang dikelola Microsoft dan selalu menggunakan kunci terpisah.

Untuk informasi selengkapnya tentang cara membuat akun penyimpanan yang mengaktifkan enkripsi infrastruktur, lihat Membuat akun penyimpanan dengan enkripsi infrastruktur yang diaktifkan untuk enkripsi ganda data.

Langkah berikutnya