Gambaran umum tentang enkripsi Azure

Artikel ini memberikan gambaran umum bagaimana enkripsi digunakan Microsoft Azure. Hal ini mencakup area utama enkripsi, termasuk enkripsi tidak aktif, enkripsi dalam penerbangan, dan manajemen kunci dengan Azure Key Vault.

Enkripsi data tidak aktif

Data saat tidak aktif mencakup informasi yang berada dalam penyimpanan persisten di media fisik, dalam format digital apa pun. Microsoft Azure menawarkan beberapa solusi penyimpanan data untuk memenuhi berbagai kebutuhan, termasuk file, disk, blob, dan penyimpanan tabel. Microsoft juga menyediakan enkripsi untuk melindungi Azure SQL Database, Azure Cosmos DB, dan Azure Data Lake.

Enkripsi data tidak aktif menggunakan enkripsi AES 256 tersedia untuk layanan di seluruh model cloud software as a service (SaaS), platform as a service (PaaS), dan infrastructure as a service (IaaS).

Untuk diskusi terperinci tentang bagaimana data tidak aktif dienkripsi di Azure, lihat Azure Data Encryption-at-Rest.

Model enkripsi Azure

Azure mendukung berbagai model enkripsi, termasuk enkripsi sisi server yang menggunakan kunci yang dikelola layanan, kunci yang dikelola pelanggan di Key Vault, atau kunci yang dikelola pelanggan pada perangkat keras yang dikontrol pelanggan. Dengan enkripsi sisi klien, Anda dapat mengelola dan menyimpan kunci secara lokal atau di lokasi aman lainnya.

Enkripsi sisi klien

Enkripsi sisi klien dilakukan di luar Azure. Ini termasuk:

• Data yang dienkripsi oleh aplikasi yang berjalan di pusat data pelanggan atau oleh aplikasi layanan
• Data yang sudah dienkripsi saat diterima oleh Azure

Dengan enkripsi sisi klien, penyedia layanan cloud tidak memiliki akses ke kunci enkripsi dan tidak dapat mendekripsi data ini. Anda mempertahankan kontrol penuh pada kunci.

Enkripsi sisi server

Tiga model enkripsi sisi server menawarkan karakteristik manajemen kunci yang berbeda:

• Kunci yang dikelola layanan: Menyediakan kombinasi kontrol dan kenyamanan dengan overhead rendah
• Kunci yang dikelola pelanggan: Memberi Anda kontrol atas kunci, termasuk dukungan Bring Your Own Keys (BYOK), atau memungkinkan Anda menghasilkan yang baru
• Kunci yang dikelola layanan dalam perangkat keras yang dikontrol pelanggan: Memungkinkan Anda mengelola kunci di repositori milik Anda, di luar kontrol Microsoft (juga disebut Host Your Own Key atau HYOK)

Azure Disk Encryption

Penting

Azure Disk Encryption dijadwalkan untuk penghentian pada 15 September 2028. Hingga tanggal tersebut, Anda dapat terus menggunakan Azure Disk Encryption tanpa gangguan. Pada 15 September 2028, beban kerja berkemampuan ADE akan terus berjalan, tetapi disk terenkripsi akan gagal dibuka setelah reboot VM, mengakibatkan gangguan layanan.

Gunakan enkripsi di host untuk VM baru. Semua VM yang diaktifkan ADE (termasuk cadangan) harus bermigrasi ke enkripsi di host sebelum tanggal penghentian untuk menghindari gangguan layanan. Lihat Migrasi dari Azure Disk Encryption ke enkripsi di host untuk detailnya.

Semua Disk Terkelola, Snapshot, dan Gambar dienkripsi menggunakan Enkripsi Layanan Penyimpanan menggunakan kunci yang dikelola layanan. Azure juga menawarkan opsi untuk melindungi disk sementara, cache, dan mengelola kunci di Azure Key Vault. Untuk informasi selengkapnya, lihat Gambaran Umum opsi enkripsi disk terkelola.

Enkripsi Layanan Azure Storage

Data tidak aktif penyimpanan Azure Blob dan berbagi file Azure dapat dienkripsi dalam skenario sisi server dan sisi klien.

Azure Storage Service Encryption (SSE) dapat mengenkripsi data secara otomatis sebelum disimpan, dan secara otomatis mendekripsi data saat Anda mengambilnya. Enkripsi Layanan Penyimpanan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia.

Enkripsi Azure SQL Database

Azure SQL Database adalah layanan database relasional tujuan umum yang mendukung struktur seperti data relasional, JSON, spasial, dan XML. SQL Database mendukung enkripsi sisi server melalui fitur Transparent Data Encryption (TDE) dan enkripsi sisi klien melalui fitur Always Encrypted.

Enkripsi Data Transparan

TDE mengenkripsi file data SQL Server, Azure SQL Database, dan Azure Synapse Analytics secara real time menggunakan Kunci Enkripsi Database (DEK). TDE diaktifkan secara default pada database Azure SQL yang baru dibuat.

Selalu Terenkripsi

Fitur Always Encrypted di Azure SQL memungkinkan Anda mengenkripsi data dalam aplikasi klien sebelum menyimpannya di Azure SQL Database. Anda dapat mengaktifkan delegasi administrasi database lokal kepada pihak ketiga dan mempertahankan pemisahan antara mereka yang memiliki dan dapat melihat data dan mereka yang mengelolanya.

Enkripsi tingkat sel atau tingkat kolom

Dengan Azure SQL Database, Anda dapat menerapkan enkripsi simetris ke kolom data menggunakan Transact-SQL. Pendekatan ini disebut enkripsi tingkat sel atau enkripsi tingkat kolom (CLE), karena Anda dapat menggunakannya untuk mengenkripsi kolom atau sel tertentu dengan kunci enkripsi yang berbeda, memberi Anda kemampuan enkripsi yang lebih terperinci daripada TDE.

Enkripsi database Azure Cosmos DB

Azure Cosmos DB adalah database multi-model Microsoft yang didistribusikan secara global. Data pengguna yang disimpan di Azure Cosmos DB dalam penyimpanan non-volatil (solid-state drive) dienkripsi secara default menggunakan kunci yang dikelola layanan. Anda dapat menambahkan enkripsi lapisan kedua dengan kunci Anda sendiri menggunakan fitur kunci yang dikelola pelanggan (CMK ).

Enkripsi Azure Data Lake

Azure Data Lake adalah repositori data di seluruh perusahaan. Data Lake Store mendukung enkripsi transparan "aktif secara default" untuk data ketika sedang tidak digunakan, yang diatur saat pembuatan akun. Secara default, Azure Data Lake Store mengelola kunci untuk Anda, tetapi Anda memiliki opsi untuk mengelolanya sendiri.

Enkripsi data saat transit

Azure menawarkan banyak mekanisme untuk menjaga data tetap privat saat berpindah dari satu lokasi ke lokasi lainnya.

Enkripsi lapisan tautan data

Setiap kali lalu lintas pelanggan Azure berpindah antar pusat data—di luar batas fisik yang tidak dikontrol oleh Microsoft—metode enkripsi lapisan tautan data menggunakan Standar Keamanan MAC IEEE 802.1AE (juga dikenal sebagai MACsec) diterapkan dari titik ke titik di seluruh perangkat keras jaringan yang mendasar. Paket dienkripsi pada perangkat sebelum dikirim, mencegah serangan fisik "man-in-the-middle" atau menginjak/menyadap. Enkripsi MACsec ini aktif secara default untuk semua lalu lintas Azure yang bepergian dalam suatu wilayah atau antar wilayah.

Enkripsi TLS

Microsoft memberi pelanggan kemampuan untuk menggunakan protokol Keamanan Lapisan Transportasi (TLS) untuk melindungi data saat bepergian antara layanan cloud dan pelanggan. Pusat data Microsoft menegosiasikan koneksi TLS dengan sistem klien yang tersambung ke layanan Azure. TLS menyediakan autentikasi, privasi pesan, dan integritas yang kuat.

Penting

Azure bertransisi untuk memerlukan TLS 1.2 atau yang lebih baru untuk semua koneksi ke layanan Azure. Sebagian besar layanan Azure menyelesaikan transisi ini pada 31 Agustus 2025. Pastikan aplikasi Anda menggunakan TLS 1.2 atau yang lebih baru.

Perfect Forward Secrecy (PFS) melindungi koneksi antara sistem klien pelanggan dan layanan cloud Microsoft dengan kunci unik. Koneksi mendukung panjang kunci 2.048-bit berbasis RSA, panjang kunci ECC 256-bit, autentikasi pesan SHA-384, dan enkripsi data AES-256.

Transaksi Azure Storage

Saat Anda berinteraksi dengan Azure Storage melalui portal Microsoft Azure, semua transaksi berlangsung melalui HTTPS. Anda juga dapat menggunakan Storage REST API melalui HTTPS untuk berinteraksi dengan Azure Storage. Anda dapat memberlakukan penggunaan HTTPS saat memanggil REST API dengan mengaktifkan persyaratan transfer aman untuk akun penyimpanan.

Tanda Tangan Akses Bersama (SAS), yang dapat digunakan untuk mendelegasikan akses ke objek Azure Storage, menyertakan opsi untuk menentukan bahwa hanya protokol HTTPS yang dapat digunakan.

Enkripsi Protokol SMB

SMB 3.0, digunakan untuk mengakses berbagi Azure Files, mendukung enkripsi dan tersedia di Windows Server 2012 R2, Windows 8, Windows 8.1, dan Windows 10. Ini memungkinkan akses lintas wilayah dan akses di desktop.

Enkripsi VPN

Anda dapat terhubung ke Azure melalui jaringan privat virtual yang membuat terowongan aman untuk melindungi privasi data yang dikirim ke seluruh jaringan.

Gateway VPN Azure

Gateway VPN Azure dapat mengirim lalu lintas terenkripsi antara jaringan virtual Anda dan lokasi lokal Anda di seluruh koneksi publik, atau antar jaringan virtual. VPN situs-ke-situs menggunakan IPsec untuk enkripsi transportasi.

VPN titik ke situs

VPN titik ke situs memungkinkan setiap komputer klien mengakses jaringan virtual Azure. Secure Socket Tunneling Protocol (SSTP) digunakan untuk membuat terowongan VPN. Untuk informasi selengkapnya, lihat Mengonfigurasi koneksi titik-ke-situs ke jaringan virtual.

VPN Situs ke situs

Koneksi gateway VPN situs-ke-situs menghubungkan jaringan lokal Anda ke jaringan virtual Azure melalui terowongan VPN IPsec/IKE. Untuk informasi selengkapnya, lihat Membuat koneksi situs-ke-situs.

Manajemen kunci dengan Azure Key Vault

Tanpa perlindungan dan pengelolaan kunci yang tepat, enkripsi dirender tidak berguna. Azure Key Vault adalah solusi yang direkomendasikan Microsoft untuk mengelola dan mengontrol akses ke kunci enkripsi yang digunakan oleh layanan cloud.

Key Vault meringankan organisasi tentang kebutuhan untuk mengonfigurasi, menambal, dan memelihara modul keamanan perangkat keras (HSM) dan perangkat lunak manajemen kunci. Dengan Key Vault, Anda mempertahankan kontrol—Microsoft tidak pernah melihat kunci Anda, dan aplikasi tidak memiliki akses langsung ke kunci tersebut. Anda juga dapat mengimpor atau menghasilkan kunci dalam HSM.

Untuk informasi selengkapnya tentang manajemen kunci di Azure, lihat Manajemen kunci di Azure.

Langkah berikutnya

• Gambaran umum keamanan Azure
• Gambaran umum keamanan jaringan Azure
• Gambaran umum keamanan database Azure
• Gambaran umum keamanan komputer virtual Azure
• Enkripsi data tidak aktif
• Praktik terbaik keamanan dan enkripsi data
• Manajemen kunci di Azure