Ringkasan opsi enkripsi disk terkelola
Ada beberapa jenis enkripsi yang tersedia untuk disk terkelola Anda, termasuk Azure Disk Encryption (ADE), Server-Side Encryption (SSE), dan enkripsi di host.
Enkripsi Sisi Server Azure Disk Storage (juga disebut enkripsi saat tidak aktif atau enkripsi Azure Storage) selalu diaktifkan dan secara otomatis mengenkripsi data yang disimpan pada disk terkelola Azure (OS dan disk data) saat bertahan pada Kluster Penyimpanan. Saat dikonfigurasi dengan Disk Encryption Set (DES), Kumpulan Enkripsi Disk juga mendukung kunci yang dikelola pelanggan. Ini tidak mengenkripsi disk sementara atau cache disk. Untuk detail selengkapnya, lihat Enkripsi sisi server Azure Disk Storage.
Enkripsi di host adalah opsi Komputer Virtual yang meningkatkan Enkripsi Sisi Server Azure Disk Storage untuk memastikan bahwa semua disk sementara dan cache disk dienkripsi saat tidak aktif dan aliran dienkripsi ke kluster Penyimpanan. Untuk detail selengkapnya, lihat Enkripsi di host - Enkripsi menyeluruh untuk data mesin virtual Anda.
Azure Disk Encryption membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. ADE mengenkripsi OS dan disk data mesin virtual (VM) Azure di dalam mesin virtual Anda menggunakan fitur DM-Crypt Linux atau fitur BitLocker Windows. ADE terintegrasi dengan Azure Key Vault untuk membantu Anda mengontrol dan mengelola kunci dan rahasia enkripsi disk, dengan opsi untuk mengenkripsi dengan kunci enkripsi kunci (KEK). Untuk detail selengkapnya, lihat Azure Disk Encryption untuk VM Linux atau Azure Disk Encryption untuk VM Windows.
Enkripsi disk rahasia mengikat kunci enkripsi disk ke TPM komputer virtual dan membuat konten disk yang dilindungi hanya dapat diakses ke VM. Status tamu TPM dan VM selalu dienkripsi dalam kode yang diuji menggunakan kunci yang dirilis oleh protokol aman yang melewati sistem operasi host dan hipervisor. Saat ini hanya tersedia untuk disk OS; dukungan disk sementara dalam pratinjau. Enkripsi di host dapat digunakan untuk disk lain pada VM Rahasia selain Enkripsi Disk Rahasia. Untuk detail selengkapnya, lihat VM rahasia seri DCasv5 dan ECasv5.
Enkripsi adalah bagian dari pendekatan berlapis untuk keamanan dan harus digunakan dengan rekomendasi lain untuk mengamankan Virtual Machines dan disknya. Untuk detail lengkapnya, lihat Rekomendasi keamanan untuk mesin virtual di Azure dan Membatasi akses impor/ekspor ke disk terkelola.
Perbandingan
Berikut adalah perbandingan Storage Disk SSE, ADE, enkripsi di host, dan Enkripsi disk rahasia.
Enkripsi Sisi Server Azure Disk Storage | Enkripsi di Host | Azure Disk Encryption | Enkripsi disk rahasia (Hanya untuk disk OS) | |
---|---|---|---|---|
Enkripsi saat tidak aktif (OS dan disk data) | ✅ | ✅ | ✅ | ✅ |
Enkripsi disk sementara | ❌ | ✅ Hanya didukung dengan kunci yang dikelola platform | ✅ | ✅Dalam Pratinjau |
Enkripsi cache | ❌ | ✅ | ✅ | ✅ |
Aliran data terenkripsi antara Compute dan Storage | ❌ | ✅ | ✅ | ✅ |
Kontrol pelanggan kunci | ✅ Saat dikonfigurasi dengan DES | ✅ Saat dikonfigurasi dengan DES | ✅ Saat dikonfigurasi dengan KEK | ✅ Saat dikonfigurasi dengan DES |
Dukungan HSM | Azure Key Vault Premium dan HSM Terkelola | Azure Key Vault Premium dan HSM Terkelola | Azure Key Vault Premium | Azure Key Vault Premium dan HSM Terkelola |
Tidak menggunakan CPU mesin virtual Anda | ✅ | ✅ | ❌ | ❌ |
Dapat digunakan untuk gambar kustom | ✅ | ✅ | ❌ Tidak dapat digunakan untuk gambar Linux kustom | ✅ |
Perlindungan Kunci yang Disempurnakan | ❌ | ❌ | ❌ | ✅ |
Microsoft Defender untuk Cloud status enkripsi disk* | Tidak sehat | Sehat | Sehat | Tidak berlaku |
Penting
Untuk enkripsi disk rahasia, Microsoft Defender untuk Cloud saat ini tidak memiliki rekomendasi yang berlaku.
* Microsoft Defender untuk Cloud memiliki rekomendasi enkripsi disk berikut:
- Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi di host (Hanya mendeteksi Enkripsi di Host)
- Komputer virtual harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Komputasi dan Penyimpanan (Hanya mendeteksi Azure Disk Encryption)
- Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost (Mendeteksi Azure Disk Encryption dan EncryptionAtHost)
- Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost (Mendeteksi Azure Disk Encryption dan EncryptionAtHost)