Mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data
Artikel
Azure Storage secara otomatis mengenkripsi semua data dalam akun penyimpanan di tingkat layanan menggunakan AES 256-bit dengan enkripsi mode GCM, salah satu cipher blok terkuat yang tersedia, dan mematuhi FIPS 140-2. Pelanggan yang memerlukan tingkat jaminan yang lebih tinggi bahwa data mereka aman juga dapat mengaktifkan AES 256-bit dengan enkripsi CBC di tingkat infrastruktur Azure Storage untuk enkripsi ganda. Enkripsi ganda data Azure Storage melindungi dari skenario di mana salah satu algoritma atau kunci enkripsi mungkin disusupi. Dalam skenario ini, lapisan enkripsi tambahan terus melindungi data Anda.
Enkripsi infrastruktur dapat diaktifkan untuk seluruh akun penyimpanan, atau untuk cakupan enkripsi di dalam akun. Saat enkripsi infrastruktur diaktifkan untuk akun penyimpanan atau cakupan enkripsi, data dienkripsi dua kali — sekali di tingkat layanan dan sekali di tingkat infrastruktur — dengan dua algoritma enkripsi yang berbeda serta dua kunci yang berbeda.
Enkripsi tingkat layanan mendukung penggunaan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan dengan Azure Key Vault atau Model Keamanan Perangkat Keras Terkelola (HSM) Key Vault. Enkripsi tingkat infrastruktur bergantung pada kunci yang dikelola Microsoft dan selalu menggunakan kunci terpisah. Untuk informasi selengkapnya tentang manajemen kunci dengan enkripsi Azure Storage, lihat Tentang manajemen kunci enkripsi.
Untuk mengenkripsi data dua kali lipat, Anda harus membuat akun penyimpanan atau cakupan enkripsi yang dikonfigurasi untuk enkripsi infrastruktur terlebih dahulu. Artikel ini menjelaskan cara mengaktifkan enkripsi infrastruktur.
Penting
Enkripsi infrastruktur direkomendasikan untuk skenario di mana enkripsi data doubly diperlukan untuk persyaratan kepatuhan. Untuk sebagian besar skenario lainnya, enkripsi Azure Storage menyediakan algoritma enkripsi yang cukup kuat, dan tidak mungkin ada manfaat untuk menggunakan enkripsi infrastruktur.
Membuat akun dengan enkripsi infrastruktur diaktifkan
Untuk mengaktifkan enkripsi infrastruktur untuk akun penyimpanan, Anda harus mengonfigurasi akun penyimpanan yang akan menggunakan enkripsi infrastruktur pada saat Anda membuat akun. Enkripsi infrastruktur tidak dapat diaktifkan atau dinonaktifkan setelah akun dibuat. Akun penyimpanan harus berjenis tujuan umum v2, blob blok premium, blob halaman premium, atau berbagi file premium.
Untuk menggunakan portal Microsoft Azure untuk membuat akun penyimpanan dengan enkripsi infrastruktur yang diaktifkan, ikuti langkah-langkah berikut:
Di portal Microsoft Azure, navigasi ke halaman Akun penyimpanan.
Pilih tombol Tambahkan untuk menambahkan v2 tujuan umum baru, blob blok premium, blob halaman premium, atau akun berbagi file premium.
Pada tab Enkripsi , temukan Aktifkan enkripsi infrastruktur, dan pilih Diaktifkan.
Pilih Tinjau + buat untuk menyelesaikan pembuatan akun penyimpanan.
Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:
Navigasikan ke akun penyimpanan Anda di portal Microsoft Azure.
Di bawah Keamanan + jaringan, pilih Enkripsi.
Untuk menggunakan PowerShell untuk membuat akun penyimpanan dengan enkripsi infrastruktur diaktifkan, pastikan Anda telah menginstal modul Az.Storage PowerShell versi 2.2.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Memasang Azure PowerShell.
Selanjutnya, buat tujuan umum v2, blob blok premium, blob halaman premium, atau akun penyimpanan berbagi file premium dengan memanggil perintah New-AzStorageAccount . Sertakan opsi -RequireInfrastructureEncryption untuk mengaktifkan enkripsi infrastruktur.
Contoh berikut menunjukkan cara membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:
Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan, panggil perintah Get-AzStorageAccount. Perintah ini mengembalikan set properti akun penyimpanan dan nilainya. Ambil bidang RequireInfrastructureEncryption dalam properti Encryption dan verifikasi bahwa bidang tersebut diatur ke True.
Contoh berikut mengambil nilai properti RequireInfrastructureEncryption. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Untuk menggunakan Azure CLI untuk membuat akun penyimpanan yang mengaktifkan enkripsi infrastruktur, pastikan Anda telah menginstal Azure CLI versi 2.8.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Menginstal Azure CLI.
Selanjutnya, buat akun v2 tujuan umum, blob blok premium, blob halaman premium, atau berbagi file premium dengan memanggil perintah az storage account create dan sertakan --require-infrastructure-encryption option untuk mengaktifkan enkripsi infrastruktur.
Contoh berikut menunjukkan cara membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:
Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan, panggil perintah tampilkan akun penyimpanan az. Perintah ini mengembalikan set properti akun penyimpanan dan nilainya. Cari bidang requireInfrastructureEncryption dalam properti encryption dan verifikasi bahwa bidang tersebut diatur ke true.
Contoh berikut mengambil nilai properti requireInfrastructureEncryption. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
Contoh JSON berikut membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:
Azure Policy menyediakan kebijakan bawaan yang mewajibkan enkripsi infrastruktur diaktifkan untuk akun penyimpanan. Untuk informasi selengkapnya, lihat bagian Penyimpanan di definisi kebijakan bawaan Azure Policy.
Membuat cakupan enkripsi dengan enkripsi infrastruktur yang diaktifkan
Jika enkripsi infrastruktur diaktifkan untuk akun, setiap lingkup enkripsi yang dibuat pada akun tersebut otomatis menggunakan enkripsi infrastruktur. Jika enkripsi infrastruktur tidak diaktifkan di tingkat akun, Anda memiliki opsi untuk mengaktifkannya bagi cakupan enkripsi pada saat membuat cakupan. Setelan enkripsi infrastruktur untuk cakupan enkripsi tidak dapat diubah setelah cakupan dibuat. Untuk informasi selengkapnya, lihat Membuat cakupan enkripsi.
