Tanya Jawab Umum tentang Azure Disk Encryption untuk komputer virtual Linux

Azure Disk Encryption untuk VM Linux menggunakan fitur dm-crypt Linux untuk menyediakan enkripsi disk lengkap disk OS* dan disk data. Selain itu, produk ini menyediakan enkripsi disk sementara saat menggunakan fitur EncryptFormatAll. Konten mengalir terenkripsi dari VM ke backend Storage. Dengan demikian, menyediakan enkripsi end-to-end dengan kunci yang dikelola pelanggan.

Lihat VM dan sistem operasi yang didukung.

Azure Disk Encryption untuk VM Linux tersedia secara umum di semua wilayah publik Azure.

Azure Disk Encryption GA mendukung templat Azure Resource Manager, Azure PowerShell, dan Azure CLI. Pengalaman pengguna yang berbeda memberi Anda fleksibilitas. Anda memiliki tiga opsi yang berbeda untuk mengaktifkan enkripsi disk untuk VM Anda. Untuk informasi selengkapnya tentang pengalaman pengguna dan panduan langkah demi langkah yang tersedia di Azure Disk Encryption, lihat Skenario Azure Disk Encryption untuk Linux.

Tidak ada biaya untuk mengenkripsi disk VM dengan Azure Disk Encryption, tetapi ada biaya yang terkait dengan penggunaan Azure Key Vault. Untuk informasi selengkapnya tentang biaya Azure Key Vault, lihat halaman Harga Key Vault.

Untuk memulai, baca Ringkasan umum Azure Disk Encryption.

Artikel Ringkasan umum Azure Disk Encryption mencantumkan ukuran VM dan sistem operasi VM yang mendukung Azure Disk Encryption.

Ya, Anda dapat mengenkripsi volume boot dan data, atau Anda dapat mengenkripsi volume data tanpa harus mengenkripsi volume OS terlebih dahulu.

Setelah Anda mengenkripsi volume OS, penonaktifan enkripsi pada volume OS tidak didukung. Untuk VM Linux dalam scale set, hanya volume data yang dapat dienkripsi.

Tidak, Azure Disk Encryption hanya mengenkripsi volume yang dipasang.

Enkripsi sisi server penyimpanan mengenkripsi disk yang dikelola Azure di Azure Storage. Disk terkelola dienkripsi secara default dengan Enkripsi sisi server menggunakan kunci yang dikelola platform (per 10 Juni 2017). Anda dapat mengelola enkripsi disk terkelola menggunakan kunci Anda sendiri dengan menentukan kunci yang dikelola pelanggan. Untuk informasi selengkapnya lihat: Enkripsi sisi server disk yang dikelola Azure.

Azure Disk Encryption dilengkapi dengan enkripsi end-to-end untuk disk OS, disk data, dan disk sementara, menggunakan kunci yang dikelola pelanggan.

• Jika kebutuhan Anda mencakup enkripsi semua enkripsi di atas dan ujung-ke-ujung, gunakan Azure Disk Encryption.
• Jika kebutuhan Anda hanya menyertakan enkripsi data tidak aktif dengan kunci yang dikelola pelanggan, gunakan Enkripsi sisi server dengan kunci yang dikelola pelanggan. Anda tidak dapat mengenkripsi disk dengan Azure Disk Encryption dan enkripsi sisi server Penyimpanan menggunakan kunci yang dikelola pelanggan.
• Jika distro Linux Anda tidak tercantum di bawah sistem operasi yang didukung untuk Azure Disk Encryption atau Anda menggunakan skenario yang dipanggil dalam pembatasan, pertimbangkan Enkripsi sisi server dengan kunci yang dikelola pelanggan.
• Jika kebijakan organisasi memungkinkan Anda mengenkripsi konten tidak aktif dengan kunci yang dikelola Azure, tidak ada tindakan yang diperlukan - konten dienkripsi secara default. Untuk disk terkelola, konten di dalam penyimpanan dienkripsi secara default dengan enkripsi sisi Server menggunakan kunci yang dikelola platform. Kunci dikelola oleh layanan Azure Storage.

Untuk memutar rahasia, cukup panggil perintah yang Anda gunakan di awal untuk mengaktifkan enkripsi disk, yang menentukan Key Vault berbeda. Untuk memutar kunci enkripsi kunci, panggil perintah yang Anda gunakan di awal untuk mengaktifkan enkripsi disk, yang menentukan enkripsi kunci baru.

Untuk menambahkan kunci enkripsi kunci, panggil perintah aktifkan yang melewati parameter kunci enkripsi kunci. Untuk menghapus kunci enkripsi kunci, panggil perintah aktifkan tanpa parameter kunci enkripsi.

Ya, Anda dapat menyediakan kunci enkripsi kunci Anda sendiri. Kunci ini diamankan di Azure Key Vault, yang merupakan penyimpanan kunci untuk Azure Disk Encryption. Untuk informasi selengkapnya tentang skenario dukungan kunci enkripsi kunci, lihat Membuat dan mengonfigurasi key vault untuk Azure Disk Encryption.

Ya, Anda dapat menggunakan Azure Key Vault untuk menghasilkan kunci enkripsi kunci untuk penggunaan Azure Disk Encryption. Kunci ini diamankan di Azure Key Vault, yang merupakan penyimpanan kunci untuk Azure Disk Encryption. Untuk informasi selengkapnya tentang kunci enkripsi kunci, lihat Membuat dan mengonfigurasi key vault untuk Azure Disk Encryption.

Anda tidak dapat menggunakan layanan pengelolaan kunci lokal atau HSM untuk melindungi kunci enkripsi dengan Azure Disk Encryption. Anda hanya dapat menggunakan layanan Azure Key Vault untuk melindungi kunci enkripsi. Untuk informasi selengkapnya tentang skenario dukungan kunci enkripsi utama, lihat Membuat dan mengonfigurasi key vaukt untuk Azure Disk Encryption.

Berikut prasyarat untuk Azure Disk Encryption. Lihat artikel Membuat dan mengonfigurasi brankas kunci untuk Azure Disk Encryption untuk membuat key vault baru, atau menyiapkan key vault yang sudah ada untuk akses enkripsi disk untuk mengaktifkan enkripsi, dan melindungi rahasia dan kunci. Untuk informasi selengkapnya tentang skenario dukungan kunci enkripsi utama, lihat Membuat dan mengonfigurasi key vaukt untuk Azure Disk Encryption.

Berikut prasyarat untuk Azure Disk Encryption. Lihat konten Azure Disk Encryption dengan MICROSOFT Entra ID untuk membuat aplikasi Microsoft Entra, membuat brankas kunci baru, atau menyiapkan brankas kunci yang ada untuk akses enkripsi disk untuk mengaktifkan enkripsi, dan melindungi rahasia dan kunci. Untuk informasi selengkapnya tentang skenario dukungan kunci enkripsi kunci, lihat Membuat dan mengonfigurasi brankas kunci untuk Azure Disk Encryption dengan ID Microsoft Entra.

Ya. Enkripsi disk menggunakan aplikasi Microsoft Entra masih didukung. Namun, saat mengenkripsi VM baru, disarankan agar Anda menggunakan metode baru daripada mengenkripsi dengan aplikasi Microsoft Entra.

Saat ini, tidak ada jalur migrasi langsung untuk komputer yang dienkripsi dengan aplikasi Microsoft Entra ke enkripsi tanpa aplikasi Microsoft Entra. Selain itu, tidak ada jalur langsung dari enkripsi tanpa aplikasi Microsoft Entra ke enkripsi dengan aplikasi AD.

Gunakan Azure PowerShell SDK versi terbaru untuk mengonfigurasi Azure Disk Encryption. Unduh Azure PowerShell versi terbaru. Azure Disk Encryption tidak didukung oleh Azure SDK versi 1.1.0.

Untuk skenario penyebaran seperti Azure Resource Manager (ARM), saat Anda perlu menyebarkan ekstensi enkripsi disk Azure untuk VM Linux untuk mengaktifkan enkripsi di VM Linux IaaS, Anda harus menggunakan ekstensi yang didukung produksi enkripsi disk Azure "Microsoft.Azure.Security.AzureDiskEncryptionForLinux".

Anda tidak dapat menerapkan Azure Disk Encryption pada citra Linux kustom Anda. Hanya citra galeri Linux untuk distribusi yang didukung dipanggil sebelumnya yang didukung. Citra Linux kustom saat ini tidak didukung.

Ya, Anda dapat melakukan pembaruan yum di VM Linux Red Hat. Untuk informasi selengkapnya, lihat Azure Disk Encryption pada jaringan yang terisolasi.

Alur kerja berikut direkomendasikan untuk memiliki hasil terbaik di Linux:

• Mulai dari stok citra galeri yang tidak dimodifikasi yang sesuai dengan distro dan versi OS yang diperlukan
• Cadangkan semua drive terpasang yang akan dienkripsi. Pencadangan ini dapat dipulihkan jika terjadi kegagalan, misalnya jika VM di-boot ulang sebelum enkripsi selesai.
• Enkripsi (dapat memakan waktu beberapa jam atau bahkan berhari-hari tergantung pada karakteristik VM dan ukuran disk data yang terpasang)
• Sesuaikan, dan tambahkan perangkat lunak ke citra sesuai kebutuhan.

Jika alur kerja ini tidak memungkinkan, mengandalkan Storage Service Encryption (SSE) di lapisan akun penyimpanan platform mungkin menjadi alternatif untuk enkripsi disk lengkap menggunakan dm-crypt.

"Bek Volume" adalah volume data lokal yang menyimpan kunci enkripsi dengan aman untuk VM Azure Terenkripsi.

Azure Disk Encryption menggunakan default dekripsi aes-xts-plain64 dengan kunci master volume 256-bit.

Tidak, data tidak akan dihapus dari drive data yang sudah dienkripsi menggunakan Azure Disk Encryption. Seperti halnya EncryptFormatAll yang tidak mengenkripsi ulang drive OS, drive data yang sudah dienkripsi tidak akan dienkripsi ulang. Untuk informasi selengkapnya, lihat kriteria EncryptFormatAll.

Enkripsi disk OS XFS didukung.

Enkripsi disk data XFS hanya didukung saat parameter EncryptFormatAll digunakan. EncryptFormatAll akan menformat ulang volume, menghapus semua data yang sebelumnya ada. Untuk informasi selengkapnya, lihat kriteria EncryptFormatAll.

Pengubahan ukuran disk OS terenkripsi ADE saat ini tidak didukung.

Azure Backup dilengkapi dengan mekanisme untuk mencadangkan dan memulihkan VM terenkripsi dalam langganan serta wilayah yang sama. Untuk mengetahui petunjuknya, lihat Mencadangkan dan memulihkan komputer virtual terenkripsi dengan Azure Backup. Memulihkan VM terenkripsi ke wilayah yang berbeda saat ini tidak didukung.

Anda dapat mengajukan pertanyaan atau memberikan umpan balik di halaman pertanyaan Microsoft Q&A untuk Azure Disk Encryption.

Langkah berikutnya

Dalam dokumen ini, Anda telah mempelajari pertanyaan umum yang terkait dengan Azure Disk Encryption. Untuk informasi selengkapnya tentang layanan ini, lihat artikel berikut:

• Gambaran Umum Azure Disk Encryption
• Menerapkan enkripsi disk di Azure Security Center
• Enkripsi data Azure saat tidak aktif