Model enkripsi data

Pemahaman tentang berbagai model enkripsi serta pro dan kontra sangat penting untuk memahami bagaimana berbagai penyedia sumber daya di Azure menerapkan enkripsi Tidak aktif. Definisi ini dibagikan di semua penyedia sumber daya di Azure untuk memastikan bahasa dan taksonomi umum.

Ada tiga skenario untuk enkripsi sisi server:

  • Enkripsi sisi server menggunakan kunci yang Dikelola Layanan

    • Penyedia Sumber Daya Azure melakukan operasi enkripsi dan dekripsi
    • Microsoft mengelola kunci
    • Fungsionalitas cloud penuh
  • Enkripsi sisi server yang menggunakan kunci yang dikelola pelanggan di Azure Key Vault

    • Penyedia Sumber Daya Azure melakukan operasi enkripsi dan dekripsi
    • Kunci kontrol pelanggan melalui Azure Key Vault
    • Fungsionalitas cloud penuh
  • Enkripsi sisi server menggunakan kunci yang dikelola pelanggan pada perangkat keras yang dikontrol pelanggan

    • Penyedia Sumber Daya Azure melakukan operasi enkripsi dan dekripsi
    • Pelanggan mengontrol kunci pada perangkat keras yang dikontrol pelanggan
    • Fungsionalitas cloud penuh

Model Enkripsi sisi server mengacu pada enkripsi yang dilakukan oleh layanan Azure. Dalam model itu, Penyedia Sumber Daya melakukan operasi enkripsi dan dekripsi. Misalnya, Azure Storage dapat menerima data dalam operasi teks biasa dan akan melakukan enkripsi dan dekripsi secara internal. Penyedia Sumber Daya mungkin menggunakan kunci enkripsi yang dikelola oleh Microsoft atau oleh pelanggan tergantung pada konfigurasi yang disediakan.

Server

Masing-masing model enkripsi tidak aktif sisi server menyiratkan karakteristik khas manajemen kunci. Ini termasuk di mana dan bagaimana kunci enkripsi dibuat, dan disimpan serta model akses dan prosedur rotasi kunci.

Untuk enkripsi pihak klien, pertimbangkan hal berikut:

  • Layanan Azure tidak dapat melihat data yang didekripsi
  • Pelanggan mengelola dan menyimpan kunci secara lokal (atau di toko aman lainnya). Kunci tidak tersedia untuk layanan Azure
  • Fungsionalitas cloud penuh

Model enkripsi yang didukung di Azure dibagi menjadi dua grup utama: "Enkripsi Klien" dan "Enkripsi Sisi Server" seperti yang disebutkan sebelumnya. Terlepas dari model enkripsi tidak aktif yang digunakan, layanan Azure selalu merekomendasikan penggunaan transportasi yang aman seperti TLS atau HTTPS. Oleh karena itu, enkripsi dalam transportasi harus diatasi oleh protokol transportasi dan tidak boleh menjadi faktor utama dalam menentukan model enkripsi tidak aktif mana yang digunakan.

Model enkripsi klien

Model Enkripsi klien mengacu pada enkripsi yang dilakukan di luar Penyedia Sumber Daya atau Azure oleh layanan atau aplikasi panggilan. Enkripsi dapat dilakukan oleh aplikasi layanan di Azure, atau oleh aplikasi yang berjalan di pusat data pelanggan. Dalam kedua kasus, saat memanfaatkan model enkripsi ini, Penyedia Sumber Daya Azure menerima blob data terenkripsi tanpa kemampuan untuk mendekripsi data dengan cara apa pun atau memiliki akses ke kunci enkripsi. Dalam model ini, manajemen kunci dilakukan oleh layanan/aplikasi panggilan dan bersifat buram untuk layanan Azure.

Klien

Enkripsi sisi server menggunakan kunci yang dikelola layanan

Bagi banyak pelanggan, persyaratan penting adalah memastikan bahwa data dienkripsi saat tidak aktif. Enkripsi sisi server yang menggunakan Kunci yang dikelola layanan memungkinkan model ini dengan memungkinkan pelanggan menandai sumber daya tertentu (Akun Penyimpanan, SQL DB, dll.) untuk enkripsi dan membiarkan semua aspek manajemen utama seperti penerbitan kunci, rotasi, dan pencadangan ke Microsoft. Sebagian besar layanan Azure yang mendukung enkripsi tidak aktif biasanya mendukung model ini untuk melakukan offload manajemen kunci enkripsi ke Azure. Penyedia sumber daya Azure membuat kunci, menempatkannya di penyimpanan yang aman, dan mengambilnya saat diperlukan. Ini berarti bahwa layanan memiliki akses penuh ke kunci dan layanan memiliki kontrol penuh atas manajemen siklus hidup info masuk.

terkelola

Enkripsi sisi server menggunakan kunci yang dikelola layanan oleh karena itu dengan cepat mengatasi kebutuhan untuk memiliki enkripsi tidak aktif dengan overhead rendah kepada pelanggan. Saat tersedia, pelanggan biasanya membuka portal Azure untuk target langganan dan penyedia sumber daya dan memeriksa kotak yang menunjukkan, mereka ingin data dienkripsi. Di beberapa enkripsi sisi server Resource Manager dengan kunci yang dikelola layanan aktif secara default.

Enkripsi sisi server dengan kunci yang dikelola Microsoft memang menyiratkan layanan memiliki akses penuh untuk menyimpan dan mengelola kunci. Sementara beberapa pelanggan mungkin ingin mengelola kunci karena mereka merasa mendapatkan keamanan yang lebih besar, biaya dan risiko yang terkait dengan solusi penyimpanan kunci khusus harus dipertimbangkan saat mengevaluasi model ini. Dalam banyak kasus, organisasi dapat menentukan bahwa batasan sumber daya atau risiko solusi lokal mungkin lebih besar daripada risiko manajemen cloud kunci enkripsi tidak aktif. Namun, model ini mungkin tidak cukup bagi organisasi yang memiliki persyaratan untuk mengontrol pembuatan atau siklus hidup kunci enkripsi atau memiliki personel yang berbeda mengelola kunci enkripsi layanan daripada yang mengelola layanan (yaitu, pemisahan manajemen kunci dari model manajemen keseluruhan untuk layanan).

Akses kunci

Saat Enkripsi sisi server dengan kunci yang dikelola layanan digunakan, pembuatan kunci, penyimpanan, dan akses layanan semuanya dikelola oleh layanan. Biasanya, penyedia sumber daya Azure dasar akan menyimpan Kunci Enkripsi Data di toko yang dekat dengan data dan dengan cepat tersedia dan dapat diakses saat Kunci Enkripsi Kunci disimpan di penyimpanan internal yang aman.

Kelebihan

  • Pengaturan sederhana
  • Microsoft mengelola rotasi kunci, pencadangan, dan redundansi
  • Pelanggan tidak memiliki biaya yang terkait dengan penerapan atau risiko skema manajemen kunci kustom.

Kekurangan

  • Tidak ada kontrol pelanggan atas kunci enkripsi (spesifikasi utama, siklus hidup, pencabutan, dll.)
  • Tidak ada kemampuan untuk memisahkan manajemen kunci dari model manajemen keseluruhan untuk layanan

Enkripsi sisi server yang menggunakan kunci yang dikelola pelanggan di Azure Key Vault

Untuk skenario saat persyaratannya adalah mengenkripsi data tidak aktif dan mengontrol kunci enkripsi pelanggan dapat menggunakan enkripsi sisi server menggunakan Kunci yang dikelola pelanggan di Key Vault. Beberapa layanan mungkin hanya menyimpan Kunci Enkripsi Kunci akar di Azure Key Vault dan menyimpan Kunci Enkripsi Data terenkripsi di lokasi internal yang lebih dekat dengan data. Dalam skenario tersebut, pelanggan dapat membawa kunci mereka sendiri ke Key Vault (BYOK - Bring Your Own Key), atau membuat yang baru, dan menggunakannya untuk mengenkripsi sumber daya yang diinginkan. Sementara Penyedia Sumber Daya melakukan operasi enkripsi dan dekripsi, Penyedia Sumber Daya menggunakan kunci enkripsi kunci yang dikonfigurasi sebagai kunci akar untuk semua operasi enkripsi.

Kehilangan kunci enkripsi utama berarti kehilangan data. Untuk alasan ini, kunci tidak boleh dihapus. Kunci harus dicadangkan setiap kali dibuat atau diputar. Perlindungan Penghapusan Sementara dan penghapusan menyeluruh diaktifkan pada vault apa pun yang menyimpan kunci enkripsi kunci untuk melindungi dari penghapusan kriptografi yang tidak disengaja atau berbahaya. Alih-alih menghapus kunci, disarankan untuk mengatur diaktifkan ke false pada kunci enkripsi kunci. Gunakan kontrol akses untuk mencabut akses ke setiap pengguna atau layanan di Azure Key Vault atau HSM Terkelola.

Akses Kunci

Model enkripsi sisi server dengan kunci yang dikelola pelanggan di Azure Key Vault melibatkan layanan yang mengakses kunci untuk mengenkripsi dan mendekripsi sesuai kebutuhan. Enkripsi pada kunci tidak aktif dapat diakses oleh layanan melalui kebijakan kontrol akses. Kebijakan ini memberikan akses identitas layanan untuk menerima kunci. Layanan Azure yang berjalan atas nama langganan terkait dapat dikonfigurasi dengan identitas dalam langganan tersebut. Layanan ini dapat melakukan autentikasi Azure Active Directory dan menerima token autentikasi yang mengidentifikasi dirinya sebagai layanan yang bertindak atas nama langganan. Token tersebut kemudian dapat diberikan ke Key Vault untuk mendapatkan kunci yang telah diberikan akses.

Untuk operasi menggunakan kunci enkripsi, identitas layanan dapat diberikan akses ke salah satu operasi berikut: mendekripsi, mengenkripsi, unwrapKey, wrapKey, memverifikasi, menandatangani, mendapatkan, daftar, memperbarui, membuat, mengimpor, menghapus, mencadangkan, dan memulihkan.

Untuk mendapatkan kunci untuk digunakan dalam mengenkripsi atau mendekripsi data tidak aktif, identitas layanan yang akan dijalankan oleh instans layanan Resource Manager harus memiliki UnwrapKey (untuk mendapatkan kunci dekripsi) dan WrapKey (untuk memasukkan kunci ke dalam brankas kunci saat membuat kunci baru).

Catatan

Untuk detail selengkapnya tentang otorisasi Key Vault, lihat halaman amankan brankas kunci Anda di Dokumentasi Azure Key Vault.

Kelebihan

  • Kontrol penuh atas kunci yang digunakan – kunci enkripsi dikelola di Key Vault pelanggan di bawah kontrol pelanggan.
  • Kemampuan untuk mengenkripsi beberapa layanan ke satu master
  • Dapat memisahkan manajemen kunci dari model manajemen keseluruhan untuk layanan
  • Dapat menentukan layanan dan lokasi utama di seluruh wilayah

Kekurangan

  • Pelanggan memiliki tanggung jawab penuh atas manajemen akses kunci
  • Pelanggan memiliki tanggung jawab penuh atas manajemen siklus hidup kunci
  • Penyiapan Tambahan & overhead konfigurasi

Enkripsi sisi server yang menggunakan kunci yang dikelola pelanggan pada perangkat keras yang dikontrol pelanggan

Beberapa layanan Azure mengaktifkan model manajemen kunci Host Your Own Key (HYOK). Mode manajemen ini berguna dalam skenario saat ada kebutuhan untuk mengenkripsi data tidak aktif dan mengelola kunci dalam repositori kepemilikan di luar kontrol Microsoft. Dalam model ini, layanan harus menggunakan kunci dari situs eksternal untuk mendekripsi Kunci Enkripsi Data (DEK). Jaminan performa dan ketersediaan terpengaruh, dan konfigurasi lebih kompleks. Selain itu, karena layanan ini memiliki akses ke DEK selama operasi enkripsi dan dekripsi, jaminan keamanan keseluruhan model ini mirip dengan saat kunci dikelola pelanggan di Azure Key Vault. Akibatnya, model ini tidak sesuai untuk sebagian besar organisasi kecuali mereka memiliki persyaratan manajemen kunci tertentu. Karena keterbatasan ini, sebagian besar layanan Azure tidak mendukung enkripsi sisi server menggunakan kunci yang dikelola pelanggan di perangkat keras yang dikontrol pelanggan. Salah satu dari dua kunci dalam Enkripsi Kunci Ganda mengikuti model ini.

Akses Kunci

Ketika enkripsi sisi server menggunakan kunci yang dikelola pelanggan dalam perangkat keras yang dikontrol pelanggan digunakan, kunci enkripsi kunci dipertahankan pada sistem yang dikonfigurasi oleh pelanggan. Layanan Azure yang mendukung model ini menyediakan sarana untuk membuat koneksi aman ke toko kunci yang disediakan pelanggan.

Kelebihan

  • Kontrol penuh atas kunci akar yang digunakan – kunci enkripsi dikelola oleh toko yang disediakan pelanggan
  • Kemampuan untuk mengenkripsi beberapa layanan ke satu master
  • Dapat memisahkan manajemen kunci dari model manajemen keseluruhan untuk layanan
  • Dapat menentukan layanan dan lokasi utama di seluruh wilayah

Kekurangan

  • Tanggung jawab penuh untuk penyimpanan utama, keamanan, performa, dan ketersediaan
  • Tanggung jawab penuh untuk manajemen akses utama
  • Tanggung jawab penuh untuk manajemen siklus hidup kunci
  • Penyiapan, konfigurasi, dan biaya pemeliharaan yang berkelanjutan yang signifikan
  • Peningkatan dependensi pada ketersediaan jaringan antara pusat data pelanggan dan pusat data Azure.

Layanan pendukung

Layanan Azure yang mendukung setiap model enkripsi:

Produk, Fitur, atau Layanan Sisi Server Menggunakan Kunci yang Dikelola Layanan Sisi Server Menggunakan Kunci yang Dikelola Pelanggan Sisi Klien Menggunakan Kunci yang Dikelola Klien
AI dan Pembelajaran Mesin
Azure Cognitive Search Ya Ya -
Azure Cognitive Services Ya Ya -
Pembelajaran Mesin Azure Ya Ya -
Moderator Konten Ya Ya -
Wajah Ya Ya -
Pemahaman Bahasa Ya Ya -
Personalizer Ya Ya -
QnA Maker Ya Ya -
Layanan Ucapan Ya Ya -
Translator Text Ya Ya -
Power BI Ya Ya, RSA 4096 bit -
Analitik
Azure Stream Analytics Ya Ya**, termasuk HSM Terkelola -
Event Hubs Ya Ya -
Fungsi Ya Ya -
Azure Analysis Services Ya - -
Azure Data Catalog Ya - -
Azure HDInsight Ya Semua -
Azure Monitor Application Insights Ya Ya -
Analitik Log Azure Monitor Ya Ya -
Azure Data Explorer Ya Ya -
Azure Data Factory Ya Ya, termasuk HSM Terkelola -
Azure Data Lake Store Ya Ya, RSA 2048 bit -
Kontainer
Azure Kubernetes Service Ya Ya, termasuk HSM Terkelola -
Container Instances Ya Ya -
Container Registry Ya Ya -
Compute
Komputer Virtual Ya Ya, termasuk HSM Terkelola -
Set Skala Komputer Virtual Ya Ya, termasuk HSM Terkelola -
SAP HANA Ya Ya -
App Service Ya Ya**, termasuk HSM Terkelola -
Automation Ya Ya -
Azure Functions Ya Ya**, termasuk HSM Terkelola -
portal Microsoft Azure Ya Ya**, termasuk HSM Terkelola -
Logic Apps Ya Ya -
Aplikasi yang dikelola Azure Ya Ya**, termasuk HSM Terkelola -
Service Bus Ya Ya -
Pemulihan Situs Ya Ya -
Database
SQL Server on Virtual Machines Ya Ya Ya
Azure SQL Database Ya Ya, RSA 3072-bit, termasuk HSM Terkelola Ya
Instans Terkelola Azure SQL Ya Ya, RSA 3072-bit, termasuk HSM Terkelola Ya
Azure SQL Database for MariaDB Ya - -
Azure SQL Database for MySQL Ya Ya -
Azure SQL Database for PostgreSQL Ya Ya -
Azure Synapse Analytics Ya Ya, RSA 3072-bit, termasuk HSM Terkelola -
SQL Server Stretch Database Ya Ya, RSA 3072 bit Ya
Table Storage Ya Ya Ya
Azure Cosmos DB Ya (pelajari selengkapnya) Ya (pelajari selengkapnya) -
Azure Databricks Ya Ya -
Layanan Migrasi Database Azure Ya T/A* -
Identitas
Azure Active Directory Ya - -
Layanan Domain Direktori Aktif Azure Ya Ya -
Integrasi
Service Bus Ya Ya Ya
Event Grid Ya - -
API Management Ya - -
Layanan IoT
IoT Hub Ya Ya Ya
IoT Hub Device Provisioning Ya Ya -
Manajemen dan Tata Kelola
Azure Managed Grafana Ya - T/A
Azure Site Recovery Ya - -
Azure Migrate Ya Ya -
Media
Media Services Ya Ya Ya
Keamanan
Microsoft Defender for IoT Ya Ya -
Microsoft Sentinel Ya Ya -
Penyimpanan
Penyimpanan Blob Ya Ya, termasuk HSM Terkelola Ya
Blob Storage Premium Ya Ya, termasuk HSM Terkelola Ya
Penyimpanan Disk Ya Ya, termasuk HSM Terkelola -
Penyimpanan Disk Ultra Ya Ya, termasuk HSM Terkelola -
Penyimpanan Disk Terkelola Ya Ya, termasuk HSM Terkelola -
Penyimpanan File Ya Ya, termasuk HSM Terkelola -
Penyimpanan Premium File Ya Ya, termasuk HSM Terkelola -
Sinkronisasi File Ya Ya, termasuk HSM Terkelola -
Queue Storage Ya Ya, termasuk HSM Terkelola Ya
Data Lake Storage Gen2 Ya Ya, termasuk HSM Terkelola Ya
Avere vFXT Ya - -
Azure Cache untuk Redis Ya T/A* -
File Azure NetApp Ya Ya -
Penyimpanan Arsip Ya Ya -
StorSimple Ya Ya Ya
Pencadangan Azure Ya Ya Ya
Data Box Ya - Ya
Tepi Data Box Ya Ya -
Lainnya
Microsoft Energy Data Services Ya - Ya

* Layanan ini tidak mempertahankan data. Cache sementara, jika ada, dienkripsi dengan kunci Microsoft.

** Layanan ini mendukung penyimpanan data di Key Vault Anda sendiri, Akun Penyimpanan, atau layanan penyimpanan data lainnya yang telah mendukung Enkripsi Sisi Server dengan Kunci yang Dikelola Pelanggan.

Langkah berikutnya