Enkripsi data dengan kunci yang dikelola pelanggan
BERLAKU UNTUK: 
Azure Cosmos DB for PostgreSQL (didukung oleh ekstensi database Citus ke PostgreSQL)
Data yang disimpan di kluster Azure Cosmos DB for PostgreSQL Anda dienkripsi secara otomatis dan lancar dengan kunci yang dikelola oleh Microsoft. Kunci ini disebut sebagai kunci yang dikelola layanan. Azure Cosmos DB for PostgreSQL menggunakan enkripsi Azure Storage untuk mengenkripsi data tidak aktif secara default menggunakan kunci yang dikelola layanan. Anda dapat secara opsional memilih untuk menambahkan lapisan keamanan tambahan dengan mengaktifkan enkripsi dengan kunci yang dikelola pelanggan.
Kunci yang dikelola layanan
Layanan Azure Cosmos DB for PostgreSQL menggunakan modul kriptografi tervalidasi FIPS 140-2 untuk enkripsi penyimpanan data tidak aktif. Semua Data termasuk cadangan dan file sementara yang dibuat saat menjalankan kueri dienkripsi pada disk. Layanan ini menggunakan cipher AES 256-bit yang disertakan dalam enkripsi penyimpanan Azure, dan kuncinya dikelola oleh sistem. Enkripsi penyimpanan selalu aktif dan tidak dapat dinonaktifkan.
Kunci yang dikelola pelanggan
Banyak organisasi memerlukan kontrol penuh akses ke data menggunakan kunci yang dikelola pelanggan (CMK). Enkripsi data dengan kunci yang dikelola pelanggan untuk Azure Cosmos DB for PostgreSQL memungkinkan Anda membawa kunci Anda sendiri untuk melindungi data tidak aktif. Ini juga memungkinkan organisasi menerapkan pemisahan tugas dalam pengelolaan kunci dan data. Dengan enkripsi yang dikelola pelanggan, Anda bertanggung jawab atas, dan dalam kendali penuh, siklus hidup kunci, izin penggunaan, dan audit operasi.
Enkripsi data dengan kunci yang dikelola pelanggan untuk Azure Cosmos DB for PostgreSQL diatur di tingkat server. Data, termasuk cadangan, dienkripsi pada disk. Enkripsi ini mencakup file sementara yang dibuat saat menjalankan kueri. Untuk kluster tertentu, kunci yang dikelola pelanggan, yang disebut kunci enkripsi kunci (KEK), digunakan untuk mengenkripsi kunci enkripsi data (DEK) layanan. KEK adalah kunci asimetris yang disimpan dalam instans Azure Key Vault milik pelanggan dan dikelola pelanggan.
| Deskripsi | |
|---|---|
| Kunci enkripsi data (DEK) | Kunci enkripsi data adalah kunci AES256 simetris yang digunakan untuk mengenkripsi partisi atau blok data. Mengenkripsi setiap blok data dengan berbagai kunci membuat serangan analisis kripto lebih sulit. Penyedia sumber daya atau instans aplikasi yang mengenkripsi dan mendekripsi blok tertentu memerlukan akses ke DEK. Saat Anda mengganti DEK dengan kunci baru, hanya data di blok terkait yang harus dienkripsi ulang dengan kunci baru. |
| Kunci enkripsi kunci (KEK) | Kunci enkripsi kunci adalah kunci enkripsi yang digunakan untuk mengenkripsi DEK. KEK yang tidak pernah meninggalkan brankas kunci memungkinkan DEK itu sendiri untuk dienkripsi dan dikontrol. Entitas yang memiliki akses ke KEK mungkin berbeda dengan entitas yang memerlukan DEK. Karena KEK diperlukan untuk mendekripsi DEK, KEK secara efektif merupakan satu titik dan penghapusan KEK yang secara efektif menghapus DEK. |
Catatan
Azure Key Vault adalah sistem manajemen kunci berbasis cloud. Ini sangat tersedia dan menyediakan penyimpanan yang dapat diskalakan dan aman untuk kunci kriptografi RSA, yang didukung secara opsional oleh modul keamanan perangkat keras tervalidasi FIPS 140 (HSM). Brankas kunci tidak mengizinkan akses langsung ke kunci yang disimpan tetapi menyediakan layanan enkripsi dan dekripsi ke entitas yang berwenang. Brankas kunci dapat menghasilkan kunci, mengimpornya, atau mentransfernya dari perangkat HSM lokal.
DEK, dienkripsi dengan KEK, disimpan secara terpisah. Hanya entitas dengan akses ke KEK yang dapat mendekripsi DEK ini. Untuk informasi selengkapnya, lihat Keamanan dalam enkripsi saat tidak aktif..
Cara kerja enkripsi data dengan kunci yang dikelola pelanggan
Agar kluster menggunakan kunci yang dikelola pelanggan yang disimpan di Key Vault untuk enkripsi DEK, administrator Key Vault memberikan hak akses berikut ke server:
| Deskripsi | |
|---|---|
| get | Memungkinkan pengambilan bagian publik dan properti kunci di brankas kunci. |
| wrapKey | Mengaktifkan enkripsi DEK. DEK terenkripsi disimpan di Azure Cosmos DB for PostgreSQL. |
| unwrapKey | Mengaktifkan dekripsi DEK. Azure Cosmos DB for PostgreSQL memerlukan DEK yang didekripsi untuk mengenkripsi/mendekripsi data. |
Administrator key vault juga dapat mengaktifkan pengelogan peristiwa audit Key Vault, sehingga dapat diaudit nanti. Ketika kluster Azure Cosmos DB for PostgreSQL dikonfigurasi untuk menggunakan kunci yang dikelola pelanggan yang disimpan di brankas kunci, kluster mengirimkan DEK ke brankas kunci untuk enkripsi. Key Vault menampilkan DEK terenkripsi, yang disimpan dalam database pengguna. Demikian pula, jika diperlukan, server mengirimkan DEK yang dilindungi ke brankas kunci untuk dekripsi. Auditor dapat menggunakan Azure Monitor untuk meninjau log peristiwa audit Key Vault, jika pengelogan diaktifkan.
Keuntungan
Enkripsi data dengan kunci yang dikelola pelanggan untuk Azure Cosmos DB for PostgreSQL memberikan manfaat berikut:
- Anda sepenuhnya mengontrol akses data dengan kemampuan untuk menghapus kunci dan membuat database tidak dapat diakses.
- Kontrol penuh atas siklus hidup utama, termasuk rotasi kunci agar selaras dengan kebijakan perusahaan tertentu.
- Manajemen pusat dan organisasi kunci di Azure Key Vault.
- Kemampuan untuk menerapkan pemisahan tugas antara petugas keamanan, administrator database, dan administrator sistem.
- Mengaktifkan enkripsi tidak memiliki efek performa tambahan dengan atau tanpa kunci yang dikelola pelanggan. Azure Cosmos DB for PostgreSQL mengandalkan Azure Storage untuk enkripsi data dalam skenario kunci yang dikelola pelanggan dan dikelola layanan.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk