Azure Data Encryption saat istirahat

Microsoft Azure menyertakan alat untuk melindungi data sesuai dengan kebutuhan keamanan dan kepatuhan perusahaan Anda. Artikel ini berfokus pada:

• Bagaimana data dilindungi saat istirahat di Microsoft Azure
• Membahas berbagai komponen yang mengambil bagian dalam implementasi perlindungan data,
• Meninjau pro dan kontra dari berbagai pendekatan perlindungan manajemen utama.

Enkripsi saat Istirahat adalah persyaratan keamanan umum. Di Azure, organisasi dapat mengenkripsi data saat aktif tanpa risiko atau biaya solusi manajemen kunci kustom. Organisasi memiliki opsi untuk membiarkan Azure sepenuhnya mengelola Enkripsi saat Istirahat. Selain itu, organisasi memiliki berbagai opsi untuk mengelola enkripsi atau kunci enkripsi dengan cermat.

Apa itu enkripsi saat istirahat?

Enkripsi adalah pengkodean data aman yang digunakan untuk melindungi kerahasiaan data. Desain Enkripsi saat Istirahat di Azure menggunakan enkripsi simetris untuk mengenkripsi dan mendekripsi sejumlah besar data dengan cepat sesuai dengan model konseptual sederhana:

• Kunci enkripsi simetris digunakan untuk mengenkripsi data saat ditulis ke penyimpanan.
• Kunci enkripsi yang sama digunakan untuk mendekripsi data tersebut karena siap digunakan dalam memori.
• Data dapat dipartisi, dan kunci yang berbeda dapat digunakan untuk setiap partisi.
• Kunci harus disimpan di lokasi yang aman dengan kontrol akses berbasis identitas dan kebijakan audit. Kunci enkripsi data yang disimpan di luar lokasi yang aman dienkripsi dengan kunci enkripsi kunci yang disimpan di lokasi yang aman.

Dalam praktiknya, manajemen utama dan skenario kontrol, serta jaminan skala dan ketersediaan, memerlukan konstruksi tambahan. Konsep dan komponen Microsoft Azure Encryption saat Istirahat dijelaskan di bawah ini.

Tujuan enkripsi saat istirahat

Enkripsi saat istirahat menyediakan perlindungan data untuk data yang disimpan (saat istirahat). Serangan terhadap data saat istirahat termasuk upaya untuk mendapatkan akses fisik ke perangkat keras tempat data disimpan, dan kemudian membahayakan data yang terkandung. Dalam serangan seperti itu, hard drive server mungkin telah salah ditangani selama pemeliharaan yang memungkinkan penyerang untuk menghapus hard drive. Kemudian penyerang akan menempatkan hard drive ke dalam komputer di bawah kendalinya untuk mencoba mengakses data.

Enkripsi saat istirahat dirancang untuk mencegah penyerang mengakses data yang tidak terenkripsi dengan memastikan data dienkripsi ketika di disk. Jika penyerang mendapatkan hard drive dengan data terenkripsi tetapi bukan kunci enkripsi, penyerang harus mengalahkan enkripsi untuk membaca data. Serangan ini jauh lebih kompleks dan memakan sumber daripada mengakses data yang tidak terenkripsi pada hard drive. Untuk alasan ini, enkripsi saat istirahat sangat dianjurkan dan merupakan persyaratan prioritas tinggi bagi banyak organisasi.

Enkripsi saat istirahat mungkin juga diperlukan oleh kebutuhan organisasi akan tata kelola data dan upaya kepatuhan. Peraturan industri dan pemerintah seperti HIPAA, PCI dan FedRAMP, menjabarkan perlindungan khusus mengenai perlindungan data dan persyaratan enkripsi. Enkripsi saat istirahat adalah ukuran wajib yang diperlukan untuk mematuhi beberapa peraturan tersebut. Untuk informasi selengkapnya tentang pendekatan Microsoft terhadap validasi FIPS 140-2, lihat Publikasi Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Selain memenuhi persyaratan kepatuhan dan peraturan, enkripsi saat istirahat memberikan perlindungan mendalam pada pertahanan. Microsoft Azure menyediakan platform yang sesuai untuk layanan, aplikasi, dan data. Ini juga menyediakan fasilitas komprehensif dan keamanan fisik, kontrol akses data, dan audit. Namun, penting untuk memberikan langkah-langkah keamanan "tumpang tindih" tambahan jika salah satu langkah keamanan lainnya gagal dan enkripsi saat istirahat memberikan langkah keamanan seperti itu.

Microsoft berkomitmen pada opsi enkripsi saat istirahat di seluruh layanan cloud dan memberi pelanggan kontrol kunci enkripsi dan log penggunaan kunci. Selain itu, Microsoft berupaya mengenkripsi semua data pelanggan tidak aktif secara default.

Komponen Azure Encryption saat Istirahat

Seperti yang dijelaskan sebelumnya, tujuan enkripsi saat istirahat adalah bahwa data yang bertahan pada disk dienkripsi dengan kunci enkripsi rahasia. Untuk mencapai tujuan tersebut, pembuatan kunci aman, penyimpanan, kontrol akses, dan manajemen kunci enkripsi harus disediakan. Meskipun detailnya dapat bervariasi, implementasi layanan Azure Encryption saat Istirahat dapat dijelaskan dalam istilah-istilah yang diilustrasikan dalam diagram berikut.

Azure Key Vault

Lokasi penyimpanan kunci enkripsi dan kontrol akses ke kunci tersebut adalah pusat bagi model enkripsi saat istirahat. Kunci harus sangat aman tetapi dapat dikelola oleh pengguna tertentu dan tersedia untuk layanan tertentu. Untuk layanan Azure, Azure Key Vault adalah solusi penyimpanan utama yang direkomendasikan dan memberikan pengalaman manajemen umum di seluruh layanan. Kunci disimpan dan dikelola dalam vault utama, dan akses ke vault kunci dapat diberikan kepada pengguna atau layanan. Azure Key Vault mendukung pembuatan kunci pelanggan atau impor kunci pelanggan untuk digunakan dalam skenario kunci enkripsi yang dikelola pelanggan.

Microsoft Entra ID

Izin untuk menggunakan kunci yang disimpan di Azure Key Vault, baik untuk mengelola atau mengaksesnya untuk enkripsi dan dekripsi Enkripsi saat Istirahat, dapat diberikan ke akun Microsoft Entra.

Enkripsi Amplop dengan Hierarki Kunci

Lebih dari satu kunci enkripsi digunakan dalam implementasi ennkripsi saat istirahat. Menyimpan kunci enkripsi di Azure Key Vault memastikan akses kunci yang aman dan manajemen kunci terpusat. Namun, akses lokal layanan ke kunci enkripsi lebih efisien untuk enkripsi dan dekripsi massal daripada berinteraksi dengan Key Vault untuk setiap operasi data, memungkinkan enkripsi yang lebih kuat dan kinerja yang lebih baik. Pembatasan penggunaan kunci enkripsi tunggal mengurangi risiko bahwa kunci akan dikompromikan dan biaya enkripsi ulang ketika kunci harus diganti. Model enkripsi Azure yang tidak aktif menggunakan enkripsi amplop, di mana kunci enkripsi kunci mengenkripsi kunci enkripsi data. Model ini membentuk hierarki kunci yang lebih mampu memenuhi persyaratan performa dan keamanan:

• Kunci Enkripsi Data (DEK) – Kunci AES256 yang simetris digunakan untuk mengenkripsi partisi atau blok data, terkadang juga disebut sebagai Kunci Data. Satu sumber mungkin memiliki banyak partisi dan banyak Kunci Enkripsi Data. Mengenkripsi setiap blok data dengan berbagai kunci membuat serangan analisis kripto lebih sulit. Dan menjaga DEK tetap lokal agar layanan mengenkripsi dan mendekripsi data dapat memaksimalkan performa.
• Kunci Enkripsi Kunci (KEK) – Kunci enkripsi yang digunakan untuk mengenkripsi Kunci Enkripsi Data menggunakan enkripsi amplop, yang disebut juga sebagai pembungkusan. Penggunaan Kunci Enkripsi Kunci yang tidak pernah meninggalkan Key Vault memungkinkan kunci enkripsi data itu sendiri untuk dienkripsi dan dikontrol. Entitas yang memiliki akses ke KEK mungkin berbeda dengan entitas yang memerlukan DEK. Entitas dapat mengakses DEK untuk membatasi akses setiap DEK ke partisi tertentu. Karena KEK diperlukan untuk mendekripsi DEK, pelanggan dapat menghapus DEK dan data secara kriptografis dengan menonaktifkan KEK.

Penyedia sumber daya dan instans aplikasi menyimpan Kunci Enkripsi Data terenkripsi sebagai metadata. Hanya entitas dengan akses ke Kunci Enkripsi Kunci yang dapat membuka Kunci Enkripsi Data. Berbagai model penyimpanan kunci didukung. Untuk informasi selengkapnya, lihat model enkripsi data.

Enkripsi saat istirahat di layanan Microsoft Cloud

Layanan Microsoft Cloud digunakan dalam ketiga model cloud: IaaS, PaaS, SaaS. Di bawah ini Anda memiliki contoh bagaimana ketiganya cocok pada setiap model:

• Layanan perangkat lunak, disebut sebagai Software as a Service atau SaaS, yang memiliki aplikasi yang disediakan oleh cloud seperti Microsoft 365.
• Layanan platform tempat pelanggan menggunakan cloud untuk hal-hal seperti penyimpanan, analitik, dan fungsionalitas bus layanan dalam aplikasi mereka.
• Layanan infrastruktur, atau Infrastructure as a Service (IaaS) di mana pelanggan menggunakan sistem operasi dan aplikasi yang dihosting di cloud dan mungkin memanfaatkan layanan cloud lainnya.

Enkripsi saat istirahat untuk pelanggan SaaS

Pelanggan Software as a Service (SaaS) biasanya mengaktifkan atau menyediakan enkripsi saat istirahat di setiap layanan. Microsoft 365 memiliki beberapa opsi bagi pelanggan untuk memverifikasi atau mengaktifkan enkripsi saat istirahat. Untuk informasi tentang layanan Microsoft 365, lihat Enkripsi di Microsoft 365.

Enkripsi saat istirahat untuk pelanggan PaaS

Data pelanggan Platform as a Service (PaaS) biasanya berada di layanan penyimpanan seperti Penyimpanan Blob tetapi juga dapat di-cache atau disimpan di lingkungan eksekusi aplikasi, seperti komputer virtual. Untuk melihat opsi enkripsi saat istirahat yang tersedia untuk Anda, periksa Model enkripsi data: tabel layanan pendukung untuk platform penyimpanan dan aplikasi yang Anda gunakan.

Enkripsi saat istirahat untuk pelanggan IaaS

Pelanggan Infrastructure as a Service (IaaS) dapat memiliki berbagai layanan dan aplikasi yang digunakan. Layanan IaaS dapat mengaktifkan enkripsi saat istirahat di komputer virtual dan VHD yang dihosting Azure dengan menggunakan Azure Disk Encryption.

Penyimpanan terenkripsi

Seperti PaaS, solusi IaaS dapat memanfaatkan layanan Azure lainnya yang menyimpan data yang dienkripsi saat istirahat. Dalam kasus ini, Anda dapat mengaktifkan dukungan Enkripsi saat Istirahat sebagaimana disediakan oleh setiap layanan Azure yang digunakan. Model enkripsi data: tabel layanan pendukung menghitung penyimpanan utama, layanan, dan platform aplikasi dan model Enkripsi saat Istirahat yang didukung.

Komputasi terenkripsi

Semua Disk Terkelola, Snapshot, dan Gambar dienkripsi menggunakan Enkripsi Layanan Penyimpanan menggunakan kunci yang dikelola layanan. Solusi Enkripsi saat Istirahat yang lebih lengkap memastikan data tidak pernah disimpan dalam bentuk tak terenkripsi. Saat memproses data pada komputer virtual, data dapat disimpan ke file halaman Windows atau file swap Linux, crash dump, atau ke log aplikasi. Untuk memastikan data ini dienkripsi saat istirahat, aplikasi IaaS dapat menggunakan Azure Disk Encryption pada komputer virtual Azure IaaS (Windows atau Linux) dan disk virtual.

Enkripsi kustom saat istirahat

Disarankan bahwa jika memungkinkan, aplikasi IaaS memanfaatkan opsi Azure Disk Encryption dan Enkripsi saat Istirahat yang disediakan oleh layanan Azure yang digunakan. Dalam beberapa kasus, seperti persyaratan enkripsi yang tidak teratur atau penyimpanan berbasis non-Azure, pengembang aplikasi IaaS mungkin perlu menerapkan enkripsi saat istirahat sendiri. Pengembang solusi IaaS dapat berintegrasi secara lebih baik dengan manajemen Azure dan harapan pelanggan dengan memanfaatkan komponen Azure tertentu. Secara khusus, pengembang harus menggunakan layanan Azure Key Vault untuk menyediakan penyimpanan kunci yang aman serta menyediakan opsi manajemen kunci yang konsisten dengan sebagian besar layanan platform Azure kepada pelanggan mereka. Selain itu, solusi kustom harus menggunakan identitas layanan terkelola Azure untuk memungkinkan akun layanan mengakses kunci enkripsi. Untuk informasi pengembang tentang Azure Key Vault dan Identitas Layanan Terkelola, lihat SDK masing-masing.

Dukungan model enkripsi penyedia sumber Azure

Layanan Microsoft Azure masing-masing mendukung satu atau beberapa model enkripsi saat istirahat. Namun, untuk beberapa layanan, satu atau beberapa model enkripsi mungkin tidak berlaku. Untuk layanan yang mendukung skenario kunci yang dikelola pelanggan, layanan tersebut hanya dapat mendukung subset tipe kunci yang didukung Azure Key Vault untuk kunci enkripsi utama. Selain itu, layanan dapat merilis dukungan untuk skenario dan jenis kunci ini pada jadwal yang berbeda. Bagian ini menjelaskan dukungan enkripsi saat istirahat pada saat penulisan ini untuk setiap layanan penyimpanan data Azure utama.

Enkripsi disk Azure

Setiap pelanggan yang menggunakan fitur Azure Infrastructure as a Service (IaaS) dapat mencapai enkripsi saat istirahat untuk VM dan disk IaaS mereka melalui Azure Disk Encryption. Untuk informasi selengkapnya tentang enkripsi Disk Azure, lihat Azure Disk Encryption untuk VM Linux atau Azure Disk Encryption untuk VM Windows.

Penyimpanan Azure

Semua layanan Azure Storage (penyimpanan Blob, penyimpanan Queue, penyimpanan Table, dan Azure Files) mendukung enkripsi saat istirahat sisi server; beberapa layanan juga mendukung kunci yang dikelola pelanggan dan enkripsi sisi klien.

• Sisi server: Semua Layanan Azure Storage mengaktifkan enkripsi sisi server secara default dengan menggunakan kunci yang dikelola layanan, yang transparan terhadap aplikasi. Untuk informasi lebih lanjut, lihat Enkripsi Azure Storage untuk Data Tidak Aktif. Penyimpanan Azure Blob dan Azure Files juga mendukung kunci yang dikelola pelanggan RSA 2048-bit di Azure Key Vault. Untuk informasi lebih lanjut, lihat Enkripsi Layanan Penyimpanan menggunakan kunci yang dikelola pelanggan di Azure Key Vault.
• Sisi klien: Azure Blobs, Tables, dan Queues mendukung enkripsi pihak klien. Saat menggunakan enkripsi sisi klien, pelanggan mengenkripsi data dan mengunggah data sebagai blob terenkripsi. Manajemen kunci dilakukan oleh pelanggan. Untuk informasi lebih lanjut, lihat Enkripsi Sisi Klien dan Azure Key Vault untuk Microsoft Azure Storage.

Database Azure SQL

Azure SQL Database saat ini mendukung enkripsi saat istirahat untuk sisi layanan yang dikelola Microsoft dan skenario enkripsi sisi klien.

Dukungan untuk enkripsi server saat ini disediakan melalui fitur SQL yang disebut Enkripsi Data Transparan. Setelah pelanggan Azure SQL Database mengaktifkan TDE, kunci secara otomatis dibuat dan dikelola untuk mereka. Enkripsi saat istirahat dapat diaktifkan di tingkat database dan server. Pada Juni 2017, Enkripsi Data Transparan (TDE) diaktifkan secara default pada database yang baru dibuat. Azure SQL Database mendukung kunci yang dikelola pelanggan RSA 2048-bit di Azure Key Vault. Untuk informasi selengkapnya, lihat Enkripsi Data Transparan dengan dukungan Bring Your Own Key untuk Azure SQL Database dan Gudang Data.

Enkripsi sisi klien dari data Azure SQL Database didukung melalui fitur Always Encrypted. Always Encrypted menggunakan kunci yang dibuat dan disimpan oleh klien. Pelanggan dapat menyimpan kunci master di penyimpanan sertifikat Windows, Azure Key Vault, atau Modul Keamanan Perangkat Keras lokal. Dengan menggunakan SQL Server Management Studio, pengguna SQL memilih kunci apa yang ingin mereka gunakan untuk mengenkripsi kolom mana.

Kesimpulan

Perlindungan data pelanggan yang disimpan dalam Layanan Azure sangat penting bagi Microsoft. Semua layanan yang dihosting Azure berkomitmen untuk menyediakan opsi Enkripsi saat Istirahat. Layanan Azure mendukung kunci yang dikelola layanan, kunci yang dikelola pelanggan, atau enkripsi sisi klien. Layanan Azure secara luas meningkatkan ketersediaan Enkripsi saat Istirahat dan opsi baru direncanakan untuk pratinjau dan ketersediaan umum di bulan-bulan mendatang.

Langkah berikutnya

• Lihat model enkripsi data untuk mempelajari lebih lanjut tentang kunci yang dikelola layanan dan kunci yang dikelola pelanggan.
• Pelajari cara Azure menggunakan enkripsi ganda untuk mengurangi ancaman yang datang dengan data enkripsi.
• Pelajari apa yang dilakukan Microsoft untuk memastikan integritas dan keamanan platform host yang melintasi perangkat keras dan firmware build-out, integrasi, operasionalisasi, dan alur perbaikan.