Bagikan melalui

Mengenkripsi disk menggunakan kunci yang dikelola pelanggan di Azure DevTest Labs

  • Artikel

Enkripsi sisi server (SSE) melindungi data Anda dan membantu memenuhi komitmen keamanan dan kepatuhan organisasi Anda. SSE secara otomatis mengenkripsi data Anda yang disimpan di disk terkelola di Azure (disk OS dan disk data) secara default saat tidak aktif saat menyimpannya ke cloud. Pelajari Enkripsi Disk lebih lanjut di Azure.

Dalam DevTest Labs, semua disk OS dan disk data yang dibuat sebagai bagian dari laboratorium dienkripsi menggunakan kunci yang dikelola platform. Namun, sebagai pemilik lab, Anda dapat memilih untuk mengenkripsi disk komputer virtual lab menggunakan kunci Anda sendiri. Jika memilih untuk mengelola enkripsi dengan kunci Anda sendiri, Anda dapat menentukan kunci yang dikelola pelanggan agar digunakan untuk mengenkripsi data dalam disk lab. Untuk mempelajari lebih lanjut Enkripsi sisi server (SSE) dengan kunci yang dikelola pelanggan, serta jenis enkripsi disk terkelola lainnya, lihat Kunci yang dikelola pelanggan. Selain itu, lihat pembatasan dengan menggunakan kunci yang dikelola pelanggan.

Catatan

  • Pengaturan berlaku untuk disk yang baru dibuat di lab. Jika Anda memilih untuk mengubah set enkripsi disk pada waktu tertentu, disk lama di lab akan tetap dienkripsi menggunakan set enkripsi disk sebelumnya.

Bagian berikut menunjukkan cara pemilik lab menyiapkan enkripsi menggunakan kunci yang dikelola pelanggan.

Prasyarat

  1. Jika Anda belum memiliki set enkripsi disk, simak artikel ini untuk menyetel Key Vault dan Set Enkripsi Disk. Perhatikan persyaratan berikut untuk set enkripsi disk:

    • Set enkripsi disk harus berada di wilayah dan langganan yang sama dengan lab Anda.
    • Pastikan Anda (pemilik lab) memiliki setidaknya satu akses tingkat pembaca ke set enkripsi disk yang akan digunakan untuk mengenkripsi disk lab.

  2. Untuk lab yang dibuat sebelum 8/1/2020, pemilik lab harus memastikan bahwa identitas yang ditetapkan sistem lab diaktifkan. Untuk melakukannya, pemilik dapat membuka laboratorium mereka, mengklik Konfigurasi dan kebijakan, mengklik bilah Identitas (Pratinjau) , mengubah Status Identitas yang Ditetapkan Sistem menjadi Aktif, lalu mengklik Simpan. Lab baru yang dibuat setelah identitas yang ditetapkan sistem lab 8/1/2020 akan diaktifkan secara default.

    Kunci Terkelola

  3. Agar lab dapat menangani enkripsi untuk semua disk lab, pemilik lab harus memberikan peran pembaca identitas yang ditetapkan sistem lab secara eksplisit di set enkripsi disk serta peran kontributor komputer virtual di langganan Azure yang mendasarinya. Pemilik lab dapat melakukannya dengan menyelesaikan langkah-langkah berikut:

    1. Pastikan Anda adalah anggota peran Administrator Akses Pengguna di tingkat langganan Azure sehingga Anda dapat mengelola akses pengguna ke sumber daya Azure.

    2. Pada halaman Set Enkripsi Disk, tetapkan setidaknya peran Pembaca ke nama lab tempat set enkripsi disk akan digunakan.

      Untuk langkah-langkah lebih detail, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure.

    3. Buka halaman Langganan di portal Microsoft Azure.

    4. Tetapkan peran Kontributor Mesin Virtual ke nama lab (identitas yang ditetapkan sistem untuk lab).

Mengenkripsi disk OS lab dengan kunci yang dikelola pelanggan

  1. Pada beranda lab Anda di portal Microsoft Azure, pilih Konfigurasi dan kebijakan di menu sebelah kiri.

  2. Pada halaman Konfigurasi dan kebijakan, pilih Disk (Pratinjau) di bagian Enkripsi. Secara default, Jenis enkripsi diatur ke Enkripsi saat tidak aktif dengan kunci yang dikelola platform.

    Tab disk pada halaman Konfigurasi dan kebijakan

  3. Untuk Jenis enkripsi, pilih Enkripsi saat tidak aktif dengan kunci yang dikelola pelanggan dari daftar dropdown.

  4. Untuk Set enkripsi disk, pilih set enkripsi disk yang Anda buat sebelumnya. Merupakan set enkripsi disk yang sama yang dapat diakses oleh identitas lab yang ditetapkan sistem.

  5. Pilih Simpan pada toolbar.

    Mengaktifkan enkripsi dengan kunci yang dikelola pelanggan

  6. Pada kotak pesan dengan teks berikut: Pengaturan ini akan berlaku untuk komputer yang baru dibuat di laboratorium. Disk OS lama akan tetap dienkripsi dengan set enkripsi disk lama, pilih Oke.

    Setelah dikonfigurasi, disk lab akan dienkripsi dengan kunci yang dikelola pelanggan yang disediakan menggunakan set enkripsi disk.

Cara memvalidasi saat disk sedang dienkripsi

  1. Buka komputer virtual lab yang dibuat setelah mengaktifkan enkripsi disk dengan kunci yang dikelola pelanggan di laboratorium.

    VM dengan dukungan enkripsi disk

  2. Klik grup sumber daya komputer virtual (VM) dan klik Disk OS.

    Grup sumber daya VM

  3. Buka Enkripsi dan validasi jika enkripsi diatur ke kunci yang dikelola pelanggan dengan Set Enkripsi Disk yang Anda pilih.

    Validasi enkripsi

Langkah berikutnya

Lihat artikel berikut: