Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Ada beberapa jenis enkripsi yang tersedia untuk disk terkelola Anda, termasuk Azure Disk Encryption (ADE), Server-Side Encryption (SSE), dan enkripsi di host.
Azure Disk Storage Server-Side Encryption (juga disebut enkripsi saat tidak aktif atau enkripsi Azure Storage) selalu diaktifkan dan secara otomatis mengenkripsi data yang disimpan di disk terkelola Azure (OS dan disk data) saat bertahan pada Kluster Penyimpanan. Saat dikonfigurasi dengan Set Enkripsi Disk (DES), konfigurasi ini juga mendukung kunci yang dikelola pelanggan. Ini tidak mengenkripsi disk sementara atau cache disk. Untuk detail selengkapnya, lihat Enkripsi sisi server Azure Disk Storage.
Enkripsi di host adalah opsi Mesin Virtual yang meningkatkan Enkripsi Azure Disk Storage Server-Side untuk memastikan bahwa semua disk sementara dan cache disk dienkripsi saat tidak digunakan dan data dienkripsi saat mengalir ke kluster Penyimpanan. Untuk detail selengkapnya, lihat Enkripsi di host - Enkripsi menyeluruh untuk data VM Anda.
Enkripsi disk rahasia mengikat kunci enkripsi disk ke TPM komputer virtual dan membuat konten disk yang dilindungi hanya dapat diakses oleh VM. Status tamu TPM dan VM selalu dienkripsi dalam kode yang diuji menggunakan kunci yang dirilis oleh protokol aman yang melewati hypervisor dan sistem operasi host. Saat ini hanya tersedia untuk disk OS; dukungan temp disk sedang dalam tahap pratinjau. Enkripsi di host dapat digunakan untuk disk lain pada VM Rahasia selain Enkripsi Disk Rahasia. Untuk detail selengkapnya, lihat VM rahasia seri DCasv5 dan ECasv5.
Azure Disk Encryption membantu melindungi dan melindungi data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. ADE mengenkripsi OS dan disk data komputer virtual (VM) Azure di dalam VM Anda dengan menggunakan fitur DM-Crypt Linux atau fitur BitLocker Windows. ADE terintegrasi dengan Azure Key Vault untuk membantu Anda mengontrol dan mengelola kunci dan rahasia enkripsi disk, dengan opsi untuk mengenkripsi dengan kunci enkripsi kunci (KEK). Untuk detail selengkapnya, lihat Azure Disk Encryption untuk VM Linux atau Azure Disk Encryption untuk VM Windows.
Penting
Azure Disk Encryption dijadwalkan untuk penghentian pada 15 September 2028. Hingga tanggal tersebut, Anda dapat terus menggunakan Azure Disk Encryption tanpa gangguan. Pada 15 September 2028, beban kerja berkemampuan ADE akan terus berjalan, tetapi disk terenkripsi akan gagal dibuka setelah reboot VM, mengakibatkan gangguan layanan.
Gunakan enkripsi di host untuk VM baru. Semua VM yang diaktifkan ADE (termasuk cadangan) harus bermigrasi ke enkripsi di host sebelum tanggal penghentian untuk menghindari gangguan layanan. Lihat Migrasi dari Azure Disk Encryption ke enkripsi di host untuk detailnya.
Enkripsi adalah bagian dari pendekatan berlapis untuk keamanan dan harus digunakan dengan rekomendasi lain untuk mengamankan Komputer Virtual dan disk mereka. Untuk detail selengkapnya, lihat Rekomendasi keamanan untuk komputer virtual di Azure dan Membatasi akses impor/ekspor ke disk terkelola.
Perbandingan
Berikut adalah perbandingan Penyimpanan Disk SSE, ADE, enkripsi di host, dan enkripsi disk Konfidensial.
| Azure Disk Storage Server-Side Encryption | Enkripsi di Host | Azure Disk Encryption | Enkripsi disk rahasia (Hanya untuk disk OS) | |
|---|---|---|---|---|
| Enkripsi tidak aktif (OS dan disk data) | ✅ | ✅ | ✅ | ✅ |
| Enkripsi disk sementara | ❌ | ✅ Hanya didukung dengan kunci yang dikelola platform | ✅ | ✅ Dalam Pratinjau |
| Enkripsi cache | ❌ | ✅ | ✅ | ✅ |
| Aliran data dienkripsi antara Komputasi dan Penyimpanan | ❌ | ✅ | ✅ | ✅ |
| Pengendalian kunci oleh pelanggan | ✅ Saat dikonfigurasi dengan DES | ✅ Saat dikonfigurasi dengan DES | ✅ Saat dikonfigurasi dengan KEK | ✅ Saat dikonfigurasi dengan DES |
| Dukungan HSM | Azure Key Vault Premium dan HSM Terkelola | Azure Key Vault Premium dan HSM Terkelola | Azure Key Vault Premium | Azure Key Vault Premium dan HSM Terkelola |
| Tidak menggunakan CPU VM Anda | ✅ | ✅ | ❌ | ❌ |
| Bekerja untuk gambar kustom | ✅ | ✅ | ❌ Tidak berfungsi untuk gambar Linux kustom | ✅ |
| Perlindungan Kunci yang Ditingkatkan | ❌ | ❌ | ❌ | ✅ |
| Status enkripsi disk Pertahanan Microsoft untuk Cloud* | Tidak sehat | Sehat | Sehat | Tidak berlaku |
Penting
Untuk enkripsi disk bersifat rahasia, Microsoft Defender untuk Cloud saat ini tidak memiliki rekomendasi yang berlaku.
* Pertahanan Microsoft untuk Cloud memiliki rekomendasi enkripsi disk berikut:
- Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi di host (Hanya mendeteksi Enkripsi di Host)
- Komputer virtual harus mengenkripsi disk sementara, cache, dan aliran data antara sumber daya Komputasi dan Penyimpanan (Hanya mendeteksi Azure Disk Encryption)
- Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost (Mendeteksi Azure Disk Encryption dan EncryptionAtHost)
- Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost (Mendeteksi Azure Disk Encryption dan EncryptionAtHost)