Gambaran umum tentang enkripsi Azure

Artikel ini memberikan gambaran umum bagaimana enkripsi digunakan Microsoft Azure. Hal ini mencakup area utama enkripsi, termasuk enkripsi tidak aktif, enkripsi dalam penerbangan, dan manajemen kunci dengan Azure Key Vault. Setiap bagian menyertakan tautan ke informasi yang lebih rinci.

Enkripsi data saat tidak aktif

Data saat tidak aktif mencakup informasi yang berada dalam penyimpanan persisten di media fisik, dalam format digital apa pun. Media ini dapat menyertakan file di media magnetik atau optik, data yang diarsipkan, dan cadangan data. Microsoft Azure menawarkan beberapa solusi penyimpanan data untuk memenuhi berbagai kebutuhan, termasuk file, disk, blob, dan penyimpanan tabel. Microsoft juga menyediakan enkripsi untuk melindungi Azure SQL Database, Azure Cosmos DB, dan Azure Data Lake.

Enkripsi data tidak aktif tersedia untuk layanan di seluruh perangkat lunak sebagai layanan (SaaS), platform sebagai layanan (PaaS), dan infrastruktur sebagai model cloud layanan (IaaS). Artikel ini meringkas dan memberikan sumber daya untuk membantu Anda menggunakan opsi enkripsi Azure.

Untuk pembahasan yang lebih rinci tentang bagaimana data tidak aktif dienkripsi di Azure, lihat Azure Data Encryption-at-Rest.

Model enkripsi Azure

Azure mendukung berbagai model enkripsi, termasuk enkripsi sisi server yang menggunakan kunci yang dikelola layanan, kunci yang dikelola pelanggan di Key Vault, atau kunci yang dikelola pelanggan pada perangkat keras yang dikontrol pelanggan. Dengan enkripsi sisi klien, Anda dapat mengelola dan menyimpan kunci lokal atau di lokasi aman lainnya.

Enkripsi sisi klien

Enkripsi sisi klien dilakukan di luar Azure. Hal tersebut mencakup:

  • Data yang dienkripsi oleh aplikasi yang berjalan di pusat data pelanggan atau oleh aplikasi layanan.
  • Data yang sudah dienkripsi ketika diterima oleh Azure.

Dengan enkripsi sisi klien, penyedia layanan cloud tidak memiliki akses ke kunci enkripsi dan tidak dapat mendekripsi data ini. Anda mempertahankan kontrol penuh pada kunci.

Enkripsi sisi server

Tiga model enkripsi sisi server menawarkan karakteristik manajemen kunci yang berbeda, yang dapat Anda pilih sesuai dengan kebutuhan Anda:

  • Kunci yang dikelola layanan: Menyediakan kombinasi kontrol dan kenyamanan dengan overhead rendah.

  • Kunci yang dikelola pelanggan: Memberi Anda kontrol atas kunci, termasuk dukungan Bring Your Own Keys (BYOK), atau memungkinkan Anda untuk menghasilkan yang baru.

  • Kunci yang dikelola layanan dalam perangkat keras yang dikontrol pelanggan: Memungkinkan Anda mengelola kunci di repositori milik Anda, di luar kontrol Microsoft. Karakteristik ini disebut Host Your Own Key (HYOK). Namun, konfigurasinya rumit, dan sebagian besar layanan Azure tidak mendukung model ini.

Enkripsi disk Azure

Anda dapat melindungi disk terkelola dengan menggunakan Azure Disk Encryption untuk VM Linux yang menggunakan DM-Crypt, atau Azure Disk Encryption untuk VM Windows yang menggunakan Windows BitLocker, untuk melindungi disk sistem operasi dan disk data dengan enkripsi volume penuh.

Kunci enkripsi dan rahasia dijaga dalam langganan Azure Key Vault Anda. Dengan menggunakan layanan Azure Backup, Anda dapat mencadangkan dan memulihkan komputer virtual terenkripsi (VM) yang menggunakan konfigurasi Key Encryption Key (KEK).

Enkripsi Layanan Azure Storage

Data tidak aktif penyimpanan Azure Blob dan berbagi file Azure dapat dienkripsi dalam skenario sisi server dan sisi klien.

Enkripsi Layanan Azure Storage (SSE) dapat mengenkripsi data secara otomatis sebelum disimpan, dan secara otomatis mendekripsi data saat Anda mengambilnya. Proses ini benar-benar transparan bagi pengguna. Enkripsi Storage Service menggunakan Standar Enkripsi Lanjutan (AES)256-bit, yang merupakan salah satu cipher blok terkuat yang tersedia. AES menangani enkripsi, dekripsi, dan manajemen kunci secara transparan.

Enkripsi sisi klien dari blob Azure

Anda dapat melakukan enkripsi sisi klien dari blob Azure dengan berbagai cara.

Anda dapat menggunakan Azure Storage Client Library untuk paket .NET NuGet untuk mengenkripsi data dalam aplikasi klien Anda sebelum mengunggahnya ke penyimpanan Azure.

Untuk mempelajari selengkapnya tentang dan mengunduh Azure Storage Client Library untuk paket .NET NuGet, lihat Windows Azure Storage 8.3.0.

Saat Anda menggunakan enkripsi sisi klien dengan Key Vault, data Anda dienkripsi menggunakan Content Encryption Key (CEK) simetris satu kali yang dihasilkan oleh SDK klien Azure Storage. CEK dienkripsi menggunakan Content Encryption Key (CEK), yang dapat berupa kunci simetris atau pasangan kunci asimetris. Anda dapat mengelolanya secara lokal atau menyimpannya di Key Vault. Kemudian, data yang dienkripsi diunggah ke Azure Storage.

Untuk mempelajari selengkapnya tentang enkripsi sisi klien dengan Key Vault dan mulai dengan petunjuk penggunaan, lihat Tutorial: Mengenkripsi dan mendekripsi blob di Azure Storage menggunakan Key Vault.

Terakhir, Anda juga dapat menggunakan Azure Storage Client Library untuk Java dalam melakukan enkripsi sisi klien sebelum mengunggah data ke Azure Storage, dan mendekripsi data saat mengunduhnya ke klien. Pustaka ini juga mendukung integrasi dengan Key Vault untuk manajemen kunci akun penyimpanan.

Enkripsi data saat tidak aktif dengan Azure SQL Database

Azure SQL Database adalah layanan database relasional tujuan umum di Azure yang mendukung struktur seperti data relasional, JSON, spasial, dan XML. SQL Database mendukung enkripsi sisi server melalui fitur Transparent Data Encryption (TDE) dan enkripsi sisi klien melalui fitur Always Encrypted.

Transparent Data Encryption

TDE digunakan untuk mengenkripsi file data SQL Server, Azure SQL Database, dan Azure Synapse Analytics secara real time, menggunakan Database Encryption Key (DEK), yang disimpan dalam catatan boot database untuk ketersediaan selama pemulihan.

TDE melindungi data dan file log, menggunakan algoritma enkripsi AES dan Triple Data Encryption Standard (3DES). Enkripsi file database dilakukan di tingkat halaman. Halaman dalam database terenkripsi dienkripsi sebelum ditulis ke disk dan didekripsi saat dibaca ke dalam memori. TDE sekarang diaktifkan secara default pada database Azure SQL yang baru dibuat.

Fitur Always Encrypted

Dengan fitur Always Encrypted di Azure SQL, Anda dapat mengenkripsi data dalam aplikasi klien sebelum menyimpannya di Azure SQL Database. Anda juga dapat mengaktifkan delegasi administrasi database lokal kepada pihak ketiga dan mempertahankan pemisahan antara mereka yang memiliki dan dapat melihat data dan mereka yang mengelolanya tetapi tidak memiliki akses.

Enkripsi tingkat sel atau tingkat kolom

Dengan Azure SQL Database, Anda dapat menerapkan enkripsi simetris ke kolom data menggunakan Transact-SQL. Pendekatan ini disebut enkripsi tingkat sel atau enkripsi tingkat kolom (CLE) karena Anda dapat menggunakannya untuk mengenkripsi kolom tertentu atau bahkan sel data tertentu dengan kunci enkripsi yang berbeda. Dengan demikian, Anda dapat mengenkripsi dengan lebih rinci dibandingkan TDE, yang mengenkripsi data di halaman.

CLE memiliki fungsi bawaan yang dapat digunakan untuk mengenkripsi data menggunakan kunci simetris atau asimetris, kunci publik sertifikat, atau frasa sandi menggunakan 3DES.

Enkripsi database Cosmos DB

Azure Cosmos DB adalah database berbagai model Microsoft yang didistribusikan secara global. Data pengguna yang disimpan di Cosmos DB dalam penyimpanan non-volatil (solid-state drive) dienkripsi secara default. Tidak ada kontrol untuk mematikan atau menyalakannya. Enkripsi saat tidak aktif diterapkan menggunakan teknologi keamanan, termasuk sistem penyimpanan kunci yang aman, jaringan terenkripsi, dan API kriptografi. Kunci enkripsi dikelola oleh Microsoft dan diputar sesuai pedoman internal Microsoft. Secara opsional, Anda dapat memilih untuk menambahkan lapisan enkripsi kedua dengan kunci yang Anda kelola menggunakan kunci yang dikelola pelanggan atau fitur CMK.

Enkripsi saat tidak aktif di Data Lake

Azure Data Lake merupakan repositori skala perusahaan dari setiap jenis data yang dikumpulkan di satu lokasi sebelum semua persyaratan formal atau skema diberlakukan. Data Lake Store mendukung "diaktifkan secara default," enkripsi transparan data tidak aktif, yang disiapkan selama pembuatan akun Anda. Secara default, Azure Data Lake Store mengelola kunci untuk Anda, tetapi Anda memiliki opsi untuk mengelolanya sendiri.

Tiga jenis kunci digunakan dalam mengenkripsi dan mendekripsi data: Kunci Enkripsi Master (MEK), Kunci Enkripsi Data (DEK), dan Kunci Enkripsi Blok (BEK). MEK digunakan untuk mengenkripsi DEK, yang disimpan di media persisten, dan BEK berasal dari DEK dan blok data. Jika Anda mengelola kunci Anda sendiri, Anda dapat memutar MEK.

Enkripsi data saat transit

Azure menawarkan banyak mekanisme untuk menjaga data tetap privat saat berpindah dari satu lokasi ke lokasi lainnya.

Setiap kali lalu lintas Pelanggan Azure berpindah antar pusat data -- di luar batas fisik yang tidak dikontrol oleh Microsoft (atau atas nama Microsoft)-- metode enkripsi berlapis tautan data menggunakan Standar Keamanan IEEE 802.1AE MAC (juga dikenal sebagai MACsec) diterapkan dari titik ke titik di seluruh perangkat keras jaringan yang mendasarinya. Paket dienkripsi dan didekripsi pada perangkat sebelum dikirim, mencegah serangan fisik "man-in-the-middle" atau mengintip/menyadap. Karena terintegrasi pada perangkat keras jaringan itu sendiri, teknologi ini menyediakan enkripsi laju saluran pada perangkat keras jaringan tanpa peningkatan latensi tautan yang terukur. Enkripsi MACsec ini aktif secara default untuk semua lalu lintas Azure yang berpindah di dalam wilayah atau antar wilayah, dan tidak ada tindakan yang diperlukan pada bagian pelanggan untuk mengaktifkan.

Enkripsi TLS di Azure

Microsoft memberikan pelanggan kemampuan untuk menggunakan protokol Transport Layer Security (TLS) guna melindungi data saat bepergian antara layanan cloud dan pelanggan. Pusat data Microsoft menegosiasikan koneksi TLS dengan sistem klien yang tersambung ke layanan Azure. TLS menyediakan autentikasi yang kuat, privasi pesan, dan integritas (memungkinkan deteksi perusakan pesan, penyadapan, dan pemalsuan), interoperabilitas, fleksibilitas algoritma, dan kemudahan penyebaran dan penggunaan.

Perfect Forward Secrecy (PFS) melindungi koneksi antara sistem klien pelanggan dan layanan cloud Microsoft dengan kunci unik. Koneksi juga menggunakan panjang kunci enkripsi 2.048-bit berbasis RSA. Kombinasi ini menyulitkan seseorang untuk menyadap dan mengakses data yang sedang transit.

Transaksi Azure Storage

Saat Anda berinteraksi dengan Azure Storage melalui portal Microsoft Azure, semua transaksi berlangsung melalui HTTPS. Anda juga dapat menggunakan Storage REST API melalui HTTPS untuk berinteraksi dengan Azure Storage. Anda dapat memberlakukan penggunaan HTTPS saat Anda memanggil API REST untuk mengakses objek di akun penyimpanan dengan mengaktifkan transfer aman yang diperlukan untuk akun penyimpanan.

Shared Access Signatures (SAS), yang dapat digunakan untuk mendelegasikan akses ke objek Azure Storage, termasuk opsi untuk menentukan bahwa hanya protokol HTTPS yang dapat digunakan saat Anda menggunakan Tanda Tangan Akses Bersama. Pendekatan ini memastikan bahwa siapa pun yang mengirim tautan dengan token SAS menggunakan protokol yang tepat.

SMB 3.0, yang digunakan untuk mengakses berbagi Azure Files, mendukung enkripsi, dan tersedia di Windows Server 2012 R2, Windows 8, Windows 8.1, dan Windows 10. Hal ini memungkinkan akses lintas wilayah dan bahkan akses di desktop.

Enkripsi sisi klien mengenkripsi data sebelum dikirim ke instans Azure Storage Anda, sehingga dienkripsi saat melintas di seluruh jaringan.

Enkripsi SMB melalui jaringan virtual Azure

Dengan menggunakan SMB 3.0 di VM yang menjalankan Windows Server 2012 atau yang lebih baru, Anda dapat membuat transfer data aman dengan mengenkripsi data saat transit melalui Azure Virtual Networks. Dengan mengenkripsi data, Anda membantu melindunginya dari serangan gangguan dan penyadapan. Administrator dapat mengaktifkan enkripsi SMB untuk seluruh server, atau hanya berbagi data tertentu.

Secara default, setelah enkripsi SMB diaktifkan untuk berbagi atau server, hanya klien SMB 3.0 yang diizinkan mengakses data terenkripsi.

Enkripsi saat transit di VM

Data saat transit ke, dari, dan antara VM yang menjalankan Windows dapat dienkripsi dengan berbagai cara, tergantung pada sifat koneksi.

Sesi RDP

Anda dapat menyambungkan dan masuk ke VM menggunakan Remote Desktop Protocol (RDP) dari komputer klien Windows, atau dari Mac dengan klien RDP terinstal. Data saat transit melalui jaringan dalam sesi RDP dapat dilindungi oleh TLS.

Anda juga dapat menggunakan Desktop Jarak Jauh untuk menyambungkan ke VM Linux di Azure.

Akses aman ke VM Linux dengan SSH

Untuk manajemen jarak jauh, Anda dapat menggunakan Secure Shell (SSH) untuk menyambungkan ke VM Linux yang berjalan di Azure. SSH adalah protokol koneksi terenkripsi yang memungkinkan rincian masuk aman melalui koneksi tidak aman. SSH adalah protokol koneksi default untuk VM Linux yang di-hosting di Azure. Dengan menggunakan kunci SSH untuk autentikasi, Anda tidak lagi memerlukan kata sandi untuk masuk. SSH menggunakan pasangan kunci publik/privat (enkripsi asimetris) untuk autentikasi.

Enkripsi VPN Azure

Anda dapat terhubung ke Azure melalui jaringan privat virtual yang membuat terowongan aman untuk melindungi privasi data yang dikirim ke seluruh jaringan.

Gateway VPN Azure

Anda dapat menggunakan gatewayVPN Azure untuk mengirim lalu lintas terenkripsi antara jaringan virtual dan lokasi lokal Anda di seluruh koneksi publik, atau untuk mengirim lalu lintas di antara jaringan virtual.

VPN situs ke situs menggunakan IPsec untuk enkripsi transportasi. Gateway VPN Azure menggunakan sekumpulan proposal default. Anda dapat mengonfigurasi gateway Azure VPN untuk menggunakan kebijakan IPsec/IKE kustom dengan algoritme kriptografi dan kekuatan utama tertentu, bukan kebijakan default Azure.

VPN titik ke situs

VPN titik ke situs memungkinkan setiap komputer klien mengakses jaringan virtual Azure. Protokol Terowongan Soket Aman (SSTP) digunakan untuk membuat terowongan VPN. SSTP dapat melintasi firewall (terowongan muncul sebagai koneksi HTTPS). Anda dapat menggunakan otoritas sertifikat akar (CA) infrastruktur kunci publik internal (PKI) Anda sendiri untuk konektivitas titik ke situs.

Anda dapat mengonfigurasi koneksi VPN titik ke situs ke jaringan virtual menggunakan portal Microsoft Azure dengan autentikasi sertifikat atau PowerShell.

Untuk mempelajari selengkapnya tentang koneksi VPN titik ke situs ke jaringan virtual Azure, lihat:

Konfigurasikan koneksi titik ke situs ke jaringan virtual menggunakan autentikasi sertifikasi: portal Microsoft Azure

Konfigurasikan koneksi titik ke situs ke jaringan virtual menggunakan autentikasi sertifikasi: PowerShell

VPN Situs ke situs

Koneksi gateway VPN situs ke situs digunakan untuk menghubungkan jaringan lokal Anda ke jaringan virtual Azure melalui terowongan VPN IPsec/IKE (IKEv1 atau IKEv2). Jenis koneksi ini memerlukan perangkat VPN lokal yang memiliki alamat IP publik eksternal yang ditetapkan untuknya.

Anda dapat mengonfigurasi koneksi VPN situs ke situs ke jaringan virtual menggunakan portal Microsoft Azure, PowerShell, atau Azure CLI.

Untuk mengetahui informasi selengkapnya, lihat:

Buat koneksi situs-ke-situs di portal Microsoft Azure

Buat koneksi situs ke situs di PowerShell

Buat jaringan virtual dengan koneksi VPN situs-ke-situs menggunakan CLI

Enkripsi saat transit di Data Lake

Data saat transit (juga dikenal sebagai data bergerak) juga selalu dienkripsi di Data Lake Store. Selain mengenkripsi data sebelum disimpan ke media persisten, data juga selalu diamankan saat transit menggunakan HTTPS. HTTPS adalah satu-satunya protokol yang didukung untuk antarmuka Data Lake Store REST.

Untuk mempelajari selengkapnya tentang enkripsi data saat transit di Data Lake, lihat Enkripsi data di Data Lake Store.

Manajemen kunci dengan Azure Key Vault

Tanpa perlindungan dan pengelolaan kunci yang tepat, enkripsi menjadi tidak berguna. Key Vault adalah solusi yang direkomendasikan Microsoft untuk mengelola dan mengontrol akses ke kunci enkripsi yang digunakan oleh layanan cloud. Izin untuk mengakses kunci dapat ditetapkan ke layanan atau kepada pengguna melalui akun Azure Active Directory.

Key Vault meringankan organisasi tentang kebutuhan untuk mengonfigurasi, melakukan patch, dan mempertahankan modul keamanan perangkat keras (HSM) dan perangkat lunak manajemen kunci. Saat menggunakan Key Vault, Anda mempertahankan kontrol. Microsoft tidak pernah melihat kunci Anda, dan aplikasi tidak memiliki akses langsung ke kunci tersebut. Anda juga dapat mengimpor atau menghasilkan kunci dalam HSM.

Langkah berikutnya