Storage, data, dan enkripsi

Melindungi data tidak aktif diperlukan untuk menjaga kerahasiaan, integritas, dan jaminan ketersediaan di semua beban kerja. Storage dalam layanan cloud seperti Azure dirancang dan diterapkan dengan sangat berbeda dari solusi lokal untuk memungkinkan penskalaan besar-besaran, akses modern melalui API REST, dan isolasi antar penyewa.

Pemberian akses ke penyimpanan Azure dimungkinkan melalui Azure Active Directory (Azure AD) serta mekanisme autentikasi berbasis kunci (Autentikasi Kunci Bersama Simetris, atau Tanda Tangan Akses Bersama (SAS))

Storage di Azure menyertakan sejumlah atribut desain keamanan asli

  • Semua data dienkripsi oleh layanan

  • Data dalam sistem penyimpanan tidak dapat dibaca oleh penyewa jika belum ditulis oleh penyewa tersebut (untuk mengurangi risiko kebocoran data penyewa silang)

  • Data hanya akan tetap berada di wilayah yang Anda pilih

  • Sistem ini memelihara tiga salinan data sinkron di wilayah yang Anda pilih.

  • Pencatatan aktivitas terperinci tersedia secara opt-in.

Fitur keamanan tambahan dapat dikonfigurasi seperti firewall penyimpanan untuk menyediakan lapisan tambahan kontrol akses serta perlindungan ancaman penyimpanan untuk mendeteksi akses dan aktivitas anomali.

Enkripsi adalah alat yang ampuh untuk keamanan, tetapi sangatlah penting untuk memahami batas-batasnya dalam melindungi data. Sama seperti brankas, enkripsi membatasi akses hanya ke mereka yang memiliki barang kecil (kunci matematika). Meskipun lebih mudah untuk melindungi kepemilikan kunci daripada himpunan data yang lebih besar, sangat dianjurkan bahwa Anda memberikan perlindungan yang sesuai untuk kunci. Melindungi kunci kriptografi bukanlah proses manusia intuitif alami (terutama karena data elektronik seperti kunci dapat disalin dengan sempurna tanpa jejak bukti forensik), sehingga sering diabaikan atau diterapkan dengan buruk.

Sementara enkripsi tersedia di banyak lapisan di Azure (dan seringkali secara default), kami telah mengidentifikasi lapisan yang paling penting untuk diterapkan (potensi data yang tinggi untuk dipindahkan ke media penyimpanan lain) dan paling mudah diterapkan (mendekati nol overhead).

Gunakan kontrol akses penyimpanan berbasis identitas

Penyedia layanan cloud menyediakan beberapa metode kontrol akses atas sumber daya penyimpanan. Contohnya termasuk kunci bersama, tanda tangan bersama, akses anonim, dan metode berbasis penyedia identitas.

Metode autentikasi dan otorisasi penyedia identitas adalah yang paling tidak bertanggung jawab untuk berkompromi dan memungkinkan kontrol akses berbasis peran yang lebih halus atas sumber daya penyimpanan.

Sebaiknya gunakan opsi berbasis identitas untuk kontrol akses penyimpanan.

Contohnya adalah Azure Active Directory Autentikasi ke layanan blob dan antrean Azure.

Enkripsi file disk virtual

Mesin virtual menggunakan file disk virtual sebagai volume penyimpanan virtual dan ada di sistem penyimpanan gumpalan penyedia layanan cloud. File-file ini dapat dipindahkan dari lokal ke sistem cloud, dari sistem cloud ke lokal, atau antar sistem cloud. Karena mobilitas file-file ini, Anda perlu memastikan file dan isinya tidak dapat diakses oleh pengguna yang tidak sah.

Kontrol akses berbasis autentikasi harus ada untuk mencegah penyerang potensial mengunduh file ke sistem mereka sendiri. Jika terjadi cacat dalam sistem autentikasi dan otorisasi atau konfigurasinya, Anda ingin memiliki mekanisme cadangan untuk mengamankan file disk virtual.

Anda dapat mengenkripsi file disk virtual untuk membantu mencegah penyerang mendapatkan akses ke isi file disk jika penyerang dapat mengunduh file. Ketika penyerang mencoba untuk masang file disk terenkripsi, mereka tidak akan dapat karena enkripsi.

Sebaiknya aktifkan enkripsi disk virtual. Untuk informasi tentang cara mengenkripsi disk Windows VM, lihat Mulai Cepat: Membuat dan mengenkripsi Windows VM dengan Azure CLI.

Contoh enkripsi disk virtual adalah Azure Disk Encryption.

Aktifkan layanan enkripsi platform

Semua penyedia layanan cloud publik mengaktifkan enkripsi yang dilakukan secara otomatis menggunakan kunci yang dikelola penyedia pada platform mereka. Dalam banyak kasus, hal ini dilakukan untuk pelanggan dan tidak ada interaksi pengguna yang diperlukan. Dalam kasus lain, penyedia menjadikan ini pilihan yang dapat dipilih pelanggan untuk digunakan atau tidak digunakan.

Hampir tidak ada overhead dalam mengaktifkan jenis enkripsi ini karena hal ini dikelola oleh penyedia layanan cloud.

Sebaiknya setiap layanan yang mendukung enkripsi penyedia layanan, Anda mengaktifkan opsi tersebut.

Contoh enkripsi penyedia layanan khusus layanan adalah enkripsi layanan Azure Storage.

Mengenkripsi data dalam transit

Lindungi data saat sedang ditransfer antar komponen, lokasi, atau program, seperti melalui jaringan, di seluruh bus layanan (dari lokal ke cloud dan sebaliknya), atau selama proses input / output. Selalu gunakan SSL/TLS saat bertukar data di lokasi yang berbeda. Untuk informasi selengkapnya, lihat Melindungi data saat transit.

Terkadang Anda perlu mengisolasi seluruh saluran komunikasi antara infrastruktur lokal dan cloud Anda dengan menggunakan jaringan pribadi virtual (VPN) atau ExpressRoute. Untuk informasi selengkapnya, lihat artikel berikut ini: