Artikel ini menyediakan jawaban atas pertanyaan yang sering diajukan (FAQ) tentang Azure Disk Encryption untuk komputer virtual Windows. Untuk informasi selengkapnya tentang layanan ini, lihat Ringkasan Azure Disk Encryption.
Apa itu Azure Disk Encryption untuk komputer virtual Windows?
Azure Disk Encryption untuk komputer virtual Windows menggunakan fitur BitLocker Windows untuk menyediakan enkripsi disk penuh dari disk OS dan disk data. Selain itu, ia menyediakan enkripsi disk sementara ketika parameter VolumeType adalah semuanya. Konten mengalir terenkripsi dari VM ke backend Storage. Dengan demikian, menyediakan enkripsi end-to-end dengan kunci yang dikelola pelanggan.
Di mana Azure Disk Encryption tersedia secara umum (GA)?
Azure Disk Encryption tersedia secara umum di semua wilayah publik Azure.
Pengalaman pengguna apa yang tersedia di Azure Disk Encryption?
Azure Disk Encryption GA mendukung templat Azure Resource Manager, Azure PowerShell, dan Azure CLI. Pengalaman pengguna yang berbeda memberi Anda fleksibilitas. Anda memiliki tiga opsi yang berbeda untuk mengaktifkan enkripsi disk untuk VM Anda. Untuk informasi selengkapnya tentang pengalaman pengguna dan panduan langkah demi langkah yang tersedia di Azure Disk Encryption, lihat Skenario Azure Disk Encryption untuk Windows.
Berapa biaya Azure Disk Encryption?
Tidak ada biaya untuk mengenkripsi disk VM dengan Azure Disk Encryption, tetapi ada biaya yang terkait dengan penggunaan Azure Key Vault. Untuk informasi selengkapnya tentang biaya Azure Key Vault, lihat halaman Harga Key Vault.
Bagaimana cara mulai menggunakan Azure Disk Encryption?
Untuk memulai, baca Ringkasan umum Azure Disk Encryption.
Ukuran dan sistem operasi VM apa yang mendukung Azure Disk Encryption?
Artikel Ringkasan umum Azure Disk Encryption mencantumkan ukuran VM dan sistem operasi VM yang mendukung Azure Disk Encryption.
Dapatkah saya mengenkripsi volume boot dan data dengan Azure Disk Encryption?
Anda dapat mengenkripsi volume boot dan data, tetapi Anda tidak dapat mengenkripsi data tanpa terlebih dahulu mengenkripsi volume OS.
Dapatkah saya mengenkripsi volume yang tidak dipasang dengan Azure Disk Encryption?
Tidak, Azure Disk Encryption hanya mengenkripsi volume yang dipasang.
Apa yang dimaksud dengan enkripsi sisi server Penyimpanan?
Enkripsi sisi server penyimpanan mengenkripsi disk yang dikelola Azure di Azure Storage. Disk terkelola dienkripsi secara default dengan Enkripsi sisi server menggunakan kunci yang dikelola platform (per 10 Juni 2017). Anda dapat mengelola enkripsi disk terkelola menggunakan kunci Anda sendiri dengan menentukan kunci yang dikelola pelanggan. Untuk informasi selengkapnya lihat: Enkripsi sisi server disk yang dikelola Azure.
Bagaimana Azure Disk Encryption berbeda dengan enkripsi sisi server Storage dengan kunci yang dikelola pelanggan dan kapan saya harus menggunakan setiap solusi?
Azure Disk Encryption menyediakan enkripsi menyeluruh untuk disk OS, disk data, dan disk sementara dengan kunci yang dikelola pelanggan.
- Jika kebutuhan Anda mencakup enkripsi semua enkripsi di atas dan ujung-ke-ujung, gunakan Azure Disk Encryption.
- Jika kebutuhan Anda hanya menyertakan enkripsi data tidak aktif dengan kunci yang dikelola pelanggan, gunakan Enkripsi sisi server dengan kunci yang dikelola pelanggan. Anda tidak dapat mengenkripsi disk dengan enkripsi sisi server Azure Disk Encryption dan Storage dengan kunci yang dikelola pelanggan.
- Jika Anda menggunakan skenario yang dipanggil dalam Pembatasan, pertimbangkan Enkripsi sisi server dengan kunci yang dikelola pelanggan.
- Jika kebijakan organisasi memungkinkan Anda mengenkripsi konten tidak aktif dengan kunci yang dikelola Azure, tidak ada tindakan yang diperlukan - konten dienkripsi secara default. Untuk disk terkelola, konten di dalam penyimpanan dienkripsi secara default dengan enkripsi sisi Server menggunakan kunci yang dikelola platform. Kunci dikelola oleh layanan Azure Storage.
Bagaimana cara memutar rahasia atau kunci enkripsi?
Untuk memutar rahasia, cukup panggil perintah yang Anda gunakan di awal untuk mengaktifkan enkripsi disk, yang menentukan Key Vault berbeda. Untuk memutar kunci enkripsi kunci, panggil perintah yang Anda gunakan di awal untuk mengaktifkan enkripsi disk, yang menentukan enkripsi kunci baru.
Peringatan
- Jika sebelumnya Anda telah menggunakan Azure Disk Encryption dengan aplikasi Microsoft Entra dengan menentukan kredensial Microsoft Entra untuk mengenkripsi VM ini, Anda harus terus menggunakan opsi ini. Menggunakan Azure Disk Encryption tanpa ID Microsoft Entra pada VM yang telah dienkripsi menggunakan Azure Disk Encryption dengan ID Microsoft Entra belum menjadi skenario yang didukung.
Bagaimana cara menambahkan atau menghapus kunci enkripsi kunci (KEK) jika saya awalnya tidak menggunakannya?
Untuk menambahkan kunci enkripsi kunci, panggil perintah aktifkan yang melewati parameter kunci enkripsi kunci. Untuk menghapus kunci enkripsi kunci, panggil perintah aktifkan tanpa parameter kunci enkripsi.
Apa ukuran yang harus saya gunakan untuk kunci enkripsi kunci (KEK)?
Windows Server 2022 dan Windows 11 menyertakan versi BitLocker yang lebih baru dan saat ini tidak berfungsi dengan Kunci Enkripsi Kunci RSA 2048 bit. Hingga diselesaikan, gunakan kunci RSA 3072 atau RSA 4096-bit, seperti yang dijelaskan dalam Sistem operasi yang didukung.
Untuk versi Windows yang lebih lama, Anda dapat menggunakan Kunci Enkripsi Kunci RSA 2048.
Apakah Azure Disk Encryption memungkinkan Anda membawa kunci Anda sendiri (BYOK)?
Ya, Anda dapat menyediakan kunci enkripsi kunci Anda sendiri. Kunci ini diamankan di Azure Key Vault, yang merupakan penyimpanan kunci untuk Azure Disk Encryption. Untuk informasi selengkapnya tentang skenario dukungan kunci enkripsi kunci, lihat Membuat dan mengonfigurasi key vault untuk Azure Disk Encryption.
Dapatkah saya menggunakan kunci enkripsi kunci yang dibuat Azure?
Ya, Anda dapat menggunakan Azure Key Vault untuk menghasilkan kunci enkripsi kunci untuk penggunaan Azure Disk Encryption. Kunci ini diamankan di Azure Key Vault, yang merupakan penyimpanan kunci untuk Azure Disk Encryption. Untuk informasi selengkapnya tentang kunci enkripsi kunci, lihat Membuat dan mengonfigurasi key vault untuk Azure Disk Encryption.
Dapatkah saya menggunakan layanan pengelolaan kunci lokal atau HSM untuk melindungi kunci enkripsi?
Anda tidak dapat menggunakan layanan pengelolaan kunci lokal atau HSM untuk melindungi kunci enkripsi dengan Azure Disk Encryption. Anda hanya dapat menggunakan layanan Azure Key Vault untuk melindungi kunci enkripsi. Untuk informasi selengkapnya tentang skenario dukungan kunci enkripsi utama, lihat Membuat dan mengonfigurasi key vaukt untuk Azure Disk Encryption.
Apa saja prasyarat untuk mengonfigurasi Azure Disk Encryption?
Berikut prasyarat untuk Azure Disk Encryption. Lihat artikel Membuat dan mengonfigurasi brankas kunci untuk Azure Disk Encryption untuk membuat key vault baru, atau menyiapkan key vault yang sudah ada untuk akses enkripsi disk untuk mengaktifkan enkripsi, dan melindungi rahasia dan kunci. Untuk informasi selengkapnya tentang skenario dukungan kunci enkripsi utama, lihat Membuat dan mengonfigurasi key vaukt untuk Azure Disk Encryption.
Apa saja prasyarat untuk mengonfigurasi Azure Disk Encryption dengan aplikasi Microsoft Entra (rilis sebelumnya)?
Berikut prasyarat untuk Azure Disk Encryption. Lihat konten Azure Disk Encryption dengan MICROSOFT Entra ID untuk membuat aplikasi Microsoft Entra, membuat brankas kunci baru, atau menyiapkan brankas kunci yang ada untuk akses enkripsi disk untuk mengaktifkan enkripsi, dan melindungi rahasia dan kunci. Untuk informasi selengkapnya tentang skenario dukungan kunci enkripsi kunci, lihat Membuat dan mengonfigurasi brankas kunci untuk Azure Disk Encryption dengan ID Microsoft Entra.
Apakah Azure Disk Encryption menggunakan aplikasi Microsoft Entra (rilis sebelumnya) masih didukung?
Ya. Enkripsi disk menggunakan aplikasi Microsoft Entra masih didukung. Namun, saat mengenkripsi VM baru, disarankan agar Anda menggunakan metode baru daripada mengenkripsi dengan aplikasi Microsoft Entra.
Dapatkah saya memigrasikan VM yang dienkripsi dengan aplikasi Microsoft Entra ke enkripsi tanpa aplikasi Microsoft Entra?
Saat ini, tidak ada jalur migrasi langsung untuk komputer yang dienkripsi dengan aplikasi Microsoft Entra ke enkripsi tanpa aplikasi Microsoft Entra. Selain itu, tidak ada jalur langsung dari enkripsi tanpa aplikasi Microsoft Entra ke enkripsi dengan aplikasi AD.
Versi Azure PowerShell apa yang didukung Azure Disk Encryption?
Gunakan Azure PowerShell SDK versi terbaru untuk mengonfigurasi Azure Disk Encryption. Unduh Azure PowerShell versi terbaru. Azure Disk Encryption tidak didukung oleh Azure SDK versi 1.1.0.
Apa itu "Volume Bek" atau "/mnt/azure_bek_disk"?
"Bek Volume" adalah volume data lokal yang menyimpan kunci enkripsi dengan aman untuk VM Azure Terenkripsi.
Catatan
Jangan hapus atau edit isi apa pun di disk ini. Jangan lepaskan disk karena kehadiran kunci enkripsi diperlukan untuk operasi enkripsi apa pun pada IaaS VM.
Metode enkripsi apa yang digunakan Azure Disk Encryption?
Azure Disk Encryption memilih metode enkripsi di BitLocker berdasarkan versi Windows sebagai berikut:
| Versi Windows | Versi | Metode enkripsi |
|---|---|---|
| Server Windows 2012, Windows 10, atau yang lebih besar | >=1511 | XTS-AES 256 bit |
| Server Windows 2012, Windows 8, 8.1, 10 | < 1511 | AES 256-bit * |
| Server Windows 2008R2 | AES 256 bit dengan Diffuser |
* AES 256 bit dengan Diffuser tidak didukung di Windows 2012 dan yang lebih baru.
Untuk menentukan versi OS Windows, jalankan alat 'winver' di komputer virtual Anda.
Apakah saya dapat mencadangkan dan memulihkan mesin virtual terenkripsi?
Azure Backup menyediakan mekanisme untuk mencadangkan dan memulihkan VM terenkripsi dalam langganan dan wilayah yang sama. Untuk petunjuknya, lihat Mencadangkan dan memulihkan komputer virtual terenkripsi dengan Azure Backup. Memulihkan VM terenkripsi ke wilayah lain saat ini tidak didukung.
Di mana saya dapat mengajukan pertanyaan atau memberikan umpan balik?
Anda dapat mengajukan pertanyaan atau memberikan umpan balik di halaman pertanyaan Microsoft Q&A untuk Azure Disk Encryption.
Langkah berikutnya
Dalam dokumen ini, Anda telah mempelajari pertanyaan umum yang terkait dengan Azure Disk Encryption. Untuk informasi selengkapnya tentang layanan ini, lihat artikel berikut: