Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Semua data yang dikelola oleh Azure DocumentDB selalu dienkripsi saat tidak aktif. Data tersebut mencakup semua database sistem dan pengguna, file sementara, log, dan cadangan.
Enkripsi saat tidak aktif dengan kunci yang dikelola layanan (SMK) atau kunci yang dikelola pelanggan (CMK)
Azure DocumentDB mendukung dua mode enkripsi data tidak aktif: kunci yang dikelola layanan (SMK) dan kunci yang dikelola pelanggan (CMK). Enkripsi data dengan kunci yang dikelola layanan adalah mode default untuk Azure DocumentDB. Dalam mode ini, layanan secara otomatis mengelola kunci enkripsi yang digunakan untuk mengenkripsi data Anda. Anda tidak perlu mengambil tindakan apa pun untuk mengaktifkan atau mengelola enkripsi dalam mode ini.
Dalam mode kunci yang dikelola pelanggan , Anda dapat membawa kunci enkripsi Anda sendiri untuk mengenkripsi data Anda. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Kunci yang dikelola pelanggan menawarkan fleksibilitas yang lebih besar untuk mengelola kontrol akses. Anda harus menyebarkan Azure Key Vault Anda sendiri dan mengonfigurasinya untuk menyimpan kunci enkripsi yang digunakan oleh kluster Azure DocumentDB Anda.
Mode konfigurasi hanya dapat dipilih pada waktu pembuatan kluster. Ini tidak dapat diubah dari satu mode ke mode lainnya selama masa pakai kluster.
Untuk mencapai enkripsi data Anda, Azure DocumentDB menggunakan enkripsi sisi server Azure Storage untuk data tidak aktif. Saat menggunakan CMK, Anda bertanggung jawab untuk menyediakan kunci untuk mengenkripsi dan mendekripsi data di layanan Azure Storage. Kunci ini harus disimpan di Azure Key Vault.
Manfaat yang diberikan oleh setiap mode (SMK atau CMK)
Enkripsi data dengan kunci yang dikelola layanan untuk Azure DocumentDB memberikan manfaat berikut:
- Layanan ini secara otomatis dan sepenuhnya mengendalikan akses data.
- Layanan ini secara otomatis dan sepenuhnya mengendalikan siklus hidup kunci Anda, termasuk perputaran kunci tersebut.
- Anda tidak perlu khawatir mengelola kunci enkripsi data.
- Enkripsi data berdasarkan kunci yang dikelola layanan tidak berdampak negatif pada performa beban kerja Anda.
- Ini menyederhanakan pengelolaan kunci enkripsi (termasuk rotasi regulernya), dan pengelolaan identitas yang digunakan untuk mengakses kunci tersebut.
Enkripsi data dengan kunci yang dikelola pelanggan untuk Azure DocumentDB memberikan manfaat berikut:
- Anda sepenuhnya mengontrol akses data. Anda dapat mencabut kunci untuk membuat database tidak dapat diakses.
- Anda sepenuhnya mengontrol siklus hidup kunci agar selaras dengan kebijakan perusahaan.
- Anda dapat mengelola dan mengatur semua kunci enkripsi Anda secara terpusat dalam instans Azure Key Vault Anda sendiri.
- Enkripsi data berdasarkan kunci yang dikelola pelanggan tidak berdampak negatif pada performa beban kerja Anda.
- Anda dapat menerapkan pemisahan tugas antara petugas keamanan, administrator basis data, dan administrator sistem.
Persyaratan CMK
Dengan kunci enkripsi yang dikelola pelanggan , Anda bertanggung jawab untuk mempertahankan komponen yang dikonfigurasi dengan benar yang diperlukan agar CMK berfungsi. Oleh karena itu, Anda harus menyebarkan Azure Key Vault Anda sendiri dan memberikan identitas terkelola yang ditetapkan pengguna. Anda harus menghasilkan atau mengimpor kunci Anda sendiri. Anda harus memberikan izin yang diperlukan pada Key Vault, sehingga Azure DocumentDB Anda dapat melakukan tindakan yang diperlukan pada kunci. Anda harus mengurus konfigurasi semua aspek jaringan Azure Key Vault tempat kunci disimpan, sehingga instans Azure DocumentDB Anda dapat mengakses kunci. Tanggung jawab Anda juga mencakup mengaudit akses ke kunci.
Saat Anda mengonfigurasi kunci yang dikelola pelanggan untuk kluster Azure DocumentDB for MonogDB, Azure Storage membungkus kunci enkripsi data akar (DEK) untuk akun dengan kunci yang dikelola pelanggan di brankas kunci terkait. Perlindungan kunci enkripsi akar berubah, tetapi data di akun Azure Storage Anda selalu tetap dienkripsi. Tidak ada tindakan tambahan yang diperlukan dari pihak Anda untuk memastikan data Anda tetap terenkripsi. Perlindungan oleh kunci yang dikelola pelanggan mulai berlaku segera.
Azure Key Vault adalah sistem manajemen kunci eksternal berbasis cloud. Ini sangat tersedia dan menyediakan penyimpanan yang dapat diskalakan dan aman untuk kunci kriptografi RSA. Tidak memungkinkan akses langsung ke kunci yang disimpan, tetapi menyediakan layanan enkripsi dan dekripsi untuk entitas yang berwenang. Key Vault dapat membuat kunci, mengimpornya, atau menerimanya yang ditransfer dari perangkat HSM di lokasi.
Berikut ini adalah daftar persyaratan dan rekomendasi untuk konfigurasi enkripsi data untuk Azure DocumentDB:
Penyimpanan kunci
Brankas kunci yang digunakan untuk penyiapan CMK harus memenuhi persyaratan berikut:
- Brankas kunci dan Azure DocumentDB harus milik penyewa Microsoft Entra yang sama.
- Rekomendasi: Atur hari untuk mempertahankan pengaturan vault yang dihapus untuk Key Vault menjadi 90 hari. Pengaturan konfigurasi ini hanya dapat ditentukan pada waktu pembuatan brankas kunci. Setelah instance dibuat, tidak mungkin untuk mengubah pengaturan ini.
-
soft-deleteAktifkan fitur di brankas kunci untuk membantu Anda melindungi dari kehilangan data, jika kunci atau instans brankas kunci dihapus secara tidak sengaja. Brankas kunci mempertahankan sumber daya yang dihapus sementara selama 90 hari kecuali pengguna memulihkan atau menghapus menyeluruhnya sementara itu. Tindakan pemulihan dan penghapusan menyeluruh memiliki izin mereka sendiri yang terkait dengan brankas kunci, peran kontrol akses berbasis peran (RBAC), atau izin kebijakan akses. Fitur penghapusan lunak secara otomatis diaktifkan. Jika Anda memiliki brankas kunci yang disebarkan sejak lama, mungkin masih menonaktifkan penghapusan sementara. Dalam hal ini, Anda dapat mengaktifkannya. - Aktifkan perlindungan penghapusan menyeluruh untuk memberlakukan periode retensi wajib untuk vault dan objek vault yang dihapus.
- Konfigurasikan akses jaringan untuk memungkinkan kluster Anda mengakses kunci enkripsi di brankas kunci. Gunakan salah satu opsi konfigurasi berikut:
- Izinkan akses publik dari semua jaringan memungkinkan semua host di Internet mengakses brankas kunci.
- Pilih Nonaktifkan akses publik dan Izinkan layanan Microsoft tepercaya untuk melewati firewall ini untuk menonaktifkan semua akses publik tetapi untuk memungkinkan kluster Anda mengakses brankas kunci.
Kunci enkripsi
Kunci enkripsi yang dipilih untuk konfigurasi CMK harus memenuhi persyaratan berikut:
- Kunci yang digunakan untuk mengenkripsi kunci enkripsi data hanya dapat berupa asimetris, RSA, atau RSA-HSM. Ukuran kunci 2.048, 3.072, dan 4.096 didukung.
- Rekomendasi: Gunakan kunci 4.096-bit untuk keamanan yang lebih baik.
- Tanggal dan waktu untuk aktivasi kunci (jika ditetapkan) harus di masa lalu. Tanggal dan waktu untuk kedaluwarsa (jika ditetapkan) harus di masa mendatang.
- Kunci harus dalam keadaan Diaktifkan.
- Jika Anda mengimpor kunci yang ada ke Azure Key Vault, berikan dalam format file yang didukung (
.pfx,.byok, atau.backup).
Permissions
Berikan akses identitas terkelola yang ditetapkan pengguna Azure DocumentDB ke kunci enkripsi:
- Disarankan: Azure Key Vault sebaiknya dikonfigurasi dengan model izin RBAC dan identitas terkelola harus diberikan peran Pengguna Enkripsi Layanan Kripto Key Vault.
-
Warisan: Jika Azure Key Vault dikonfigurasi dengan model izin kebijakan Access, berikan izin berikut ke identitas terkelola:
- get: Untuk mengambil properti dan bagian publik dari kunci di brankas kunci.
- list: Untuk mencantumkan dan melakukan iterasi melalui kunci yang disimpan di brankas kunci.
- wrapKey: Untuk mengenkripsi kunci enkripsi data.
- unwrapKey: Untuk mendekripsi kunci enkripsi data.
Pembaruan versi kunci CMK
CMK di Azure DocumentDB mendukung pembaruan versi kunci otomatis, juga dikenal sebagai kunci tanpa versi. Layanan Azure DocumentDB secara otomatis mengambil versi kunci baru dan mendekripsi ulang kunci enkripsi data. Kemampuan ini dapat dikombinasikan dengan fitur autorotasi Azure Key Vault.
Pertimbangan
Saat Anda menggunakan kunci yang dikelola pelanggan untuk enkripsi data, ikuti rekomendasi berikut untuk mengonfigurasi Key Vault:
- Untuk mencegah penghapusan sumber daya penting yang tidak disengaja atau tidak sah ini, atur kunci sumber daya Azure pada brankas kunci.
- Tinjau dan aktifkan opsi ketersediaan dan redundansi Azure Key Vault.
- Aktifkan pengelogan dan pemberitahuan pada instans Azure Key Vault yang digunakan untuk menyimpan kunci. Brankas kunci menyediakan log yang mudah disuntikkan ke alat informasi keamanan dan manajemen peristiwa (SIEM) lainnya. Log Azure Monitor adalah salah satu contoh layanan yang sudah terintegrasi.
- Aktifkan autorotasi kunci. Layanan Azure DocumentDB selalu mengambil versi terbaru dari kunci yang dipilih.
- Kunci akses jaringan publik ke Key Vault dengan memilih Nonaktifkan akses publik dan Izinkan layanan Microsoft tepercaya untuk melewati firewall ini.
Nota
Setelah Anda memilih Nonaktifkan akses publik dan Izinkan layanan Microsoft tepercaya untuk melewati firewall ini, Anda mungkin mendapatkan kesalahan yang mirip dengan yang berikut ini ketika Anda mencoba menggunakan akses publik untuk mengelola Key Vault melalui portal: "Anda mengaktifkan kontrol akses jaringan. Hanya jaringan yang diizinkan yang memiliki akses ke brankas kunci ini." Kesalahan ini tidak menghalangi kemampuan untuk menyediakan kunci selama penyiapan kunci yang dikelola pelanggan atau mengambil kunci dari Key Vault selama operasi kluster.
- Simpan salinan kunci pelanggan yang dirusak di tempat yang aman, atau escrow ke layanan escrow.
- Jika Key Vault menghasilkan kunci, buat cadangan kunci sebelum Anda menggunakan kunci untuk pertama kalinya. Anda hanya dapat memulihkan cadangan ke Key Vault.