Mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data

Artikel
23/01/2025

Azure Storage secara otomatis mengenkripsi semua data di akun penyimpanan di tingkat layanan menggunakan enkripsi AES 256-bit, salah satu cipher blok terkuat yang tersedia, dan sesuai dengan FIPS 140-2. Pelanggan yang membutuhkan tingkat jaminan yang lebih tinggi agar data mereka aman juga dapat mengaktifkan enkripsi AES 256-bit di tingkat infrastruktur Azure Storage untuk enkripsi ganda. Enkripsi ganda data Azure Storage melindungi dari skenario di mana salah satu algoritma atau kunci enkripsi mungkin disusupi. Dalam skenario ini, lapisan enkripsi tambahan terus melindungi data Anda.

Enkripsi infrastruktur dapat diaktifkan untuk seluruh akun penyimpanan, atau untuk cakupan enkripsi di dalam akun. Saat enkripsi infrastruktur diaktifkan untuk akun penyimpanan atau cakupan enkripsi, data dienkripsi dua kali — sekali di tingkat layanan dan sekali di tingkat infrastruktur — dengan dua algoritma enkripsi yang berbeda serta dua kunci yang berbeda.

Enkripsi tingkat layanan mendukung penggunaan kunci yang dikelola Microsoft atau kunci yang dikelola pelanggan dengan Azure Key Vault atau Model Keamanan Perangkat Keras Terkelola (HSM) Key Vault. Enkripsi tingkat infrastruktur bergantung pada kunci yang dikelola Microsoft dan selalu menggunakan kunci terpisah. Untuk informasi selengkapnya tentang manajemen kunci dengan enkripsi Azure Storage, lihat Tentang manajemen kunci enkripsi.

Untuk mengenkripsi data dua kali lipat, Anda harus membuat akun penyimpanan atau cakupan enkripsi yang dikonfigurasi untuk enkripsi infrastruktur terlebih dahulu. Artikel ini menjelaskan cara mengaktifkan enkripsi infrastruktur.

Penting

Enkripsi infrastruktur direkomendasikan untuk skenario di mana enkripsi data doubly diperlukan untuk persyaratan kepatuhan. Untuk sebagian besar skenario lainnya, enkripsi Azure Storage menyediakan algoritma enkripsi yang cukup kuat, dan tidak mungkin ada manfaat untuk menggunakan enkripsi infrastruktur.

Membuat akun dengan enkripsi infrastruktur diaktifkan

Untuk mengaktifkan enkripsi infrastruktur untuk akun penyimpanan, Anda harus mengonfigurasi akun penyimpanan yang akan menggunakan enkripsi infrastruktur pada saat Anda membuat akun. Enkripsi infrastruktur tidak dapat diaktifkan atau dinonaktifkan setelah akun dibuat. Akun penyimpanan harus berjenis tujuan umum v2, blob blok premium, blob halaman premium, atau berbagi file premium.

Untuk menggunakan portal Microsoft Azure untuk membuat akun penyimpanan dengan enkripsi infrastruktur yang diaktifkan, ikuti langkah-langkah berikut:

Di portal Microsoft Azure, navigasi ke halaman Akun penyimpanan.
Pilih tombol Tambahkan untuk menambahkan v2 tujuan umum baru, blob blok premium, blob halaman premium, atau akun berbagi file premium.
Pada tab Enkripsi , temukan Aktifkan enkripsi infrastruktur, dan pilih Diaktifkan.
Pilih Tinjau + buat untuk menyelesaikan pembuatan akun penyimpanan.

Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:

Navigasikan ke akun penyimpanan Anda di portal Microsoft Azure.
Di bawah Keamanan + jaringan, pilih Enkripsi.

Untuk menggunakan PowerShell untuk membuat akun penyimpanan dengan enkripsi infrastruktur diaktifkan, pastikan Anda telah menginstal modul Az.Storage PowerShell versi 2.2.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Memasang Azure PowerShell.

Selanjutnya, buat tujuan umum v2, blob blok premium, blob halaman premium, atau akun penyimpanan berbagi file premium dengan memanggil perintah New-AzStorageAccount . Sertakan opsi -RequireInfrastructureEncryption untuk mengaktifkan enkripsi infrastruktur.

Contoh berikut menunjukkan cara membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

PowerShell

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan, panggil perintah Get-AzStorageAccount. Perintah ini mengembalikan set properti akun penyimpanan dan nilainya. Ambil bidang RequireInfrastructureEncryption dalam properti Encryption dan verifikasi bahwa bidang tersebut diatur ke True.

Contoh berikut mengambil nilai properti RequireInfrastructureEncryption. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

PowerShell

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Untuk menggunakan Azure CLI untuk membuat akun penyimpanan yang mengaktifkan enkripsi infrastruktur, pastikan Anda telah menginstal Azure CLI versi 2.8.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Menginstal Azure CLI.

Selanjutnya, buat akun v2 tujuan umum, blob blok premium, blob halaman premium, atau berbagi file premium dengan memanggil perintah az storage account create dan sertakan --require-infrastructure-encryption option untuk mengaktifkan enkripsi infrastruktur.

Azure CLI

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Untuk memverifikasi bahwa enkripsi infrastruktur diaktifkan untuk akun penyimpanan, panggil perintah tampilkan akun penyimpanan az. Perintah ini mengembalikan set properti akun penyimpanan dan nilainya. Cari bidang requireInfrastructureEncryption dalam properti encryption dan verifikasi bahwa bidang tersebut diatur ke true.

Contoh berikut mengambil nilai properti requireInfrastructureEncryption. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:

Azure CLI

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Contoh JSON berikut membuat akun penyimpanan v2 tujuan umum yang dikonfigurasi untuk penyimpanan geo-redundan akses baca (RA-GRS) dan mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

JSON

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure Policy menyediakan kebijakan bawaan yang mewajibkan enkripsi infrastruktur diaktifkan untuk akun penyimpanan. Untuk informasi selengkapnya, lihat bagian Penyimpanan di definisi kebijakan bawaan Azure Policy.

Membuat cakupan enkripsi dengan enkripsi infrastruktur yang diaktifkan

Jika enkripsi infrastruktur diaktifkan untuk akun, setiap lingkup enkripsi yang dibuat pada akun tersebut otomatis menggunakan enkripsi infrastruktur. Jika enkripsi infrastruktur tidak diaktifkan di tingkat akun, Anda memiliki opsi untuk mengaktifkannya bagi cakupan enkripsi pada saat membuat cakupan. Setelan enkripsi infrastruktur untuk cakupan enkripsi tidak dapat diubah setelah cakupan dibuat. Untuk informasi selengkapnya, lihat Membuat cakupan enkripsi.

Langkah berikutnya

Sumber Daya Tambahan:

Dokumentasi

Enkripsi Layanan Azure Storage untuk data yang tidak digunakan

Azure Storage melindungi data Anda dengan mengenkripsinya secara otomatis sebelum menyimpannya ke awan. Anda dapat mengandalkan kunci yang dikelola Microsoft untuk enkripsi data di akun penyimpanan Anda, atau Anda dapat mengelola enkripsi dengan kunci Anda sendiri.
Mengonfigurasi kunci yang dikelola pelanggan di penyewa yang sama untuk akun penyimpanan yang ada - Azure Storage

Pelajari cara mengonfigurasi enkripsi Azure Storage dengan kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada dengan menggunakan portal Azure, PowerShell, atau Azure CLI. Kunci yang dikelola pelanggan disimpan di brankas kunci Azure.
Definisi kebijakan bawaan untuk Azure Storage

Mencantumkan definisi kebijakan bawaan Azure Policy untuk Azure Storage. Definisi kebijakan bawaan ini memberikan pendekatan umum untuk mengelola sumber daya Azure Anda.
Cakupan enkripsi untuk penyimpanan Blob - Azure Storage

Cakupan enkripsi menyediakan kemampuan untuk mengelola enkripsi pada tingkat kontainer atau blob individu. Anda dapat menggunakan cakupan enkripsi untuk membuat batas aman antara data yang berada di akun penyimpanan yang sama, tetapi milik pelanggan yang berbeda.
Kunci yang dikelola pelanggan untuk enkripsi akun - Azure Storage

Anda dapat menggunakan kunci enkripsi Anda sendiri untuk melindungi data di akun penyimpanan Anda. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Kunci yang dikelola pelanggan menawarkan fleksibilitas yang lebih besar untuk mengelola kontrol akses.
Membuat dan mengelola cakupan enkripsi - Azure Storage

Pelajari cara membuat cakupan enkripsi untuk mengisolasi data blob di tingkat kontainer atau blob.
Perlu transfer aman untuk memastikan koneksi yang aman - Azure Storage

Pelajari cara memerlukan transfer aman untuk permintaan ke Microsoft Azure Storage. Ketika Anda memerlukan transfer aman untuk akun penyimpanan, permintaan apa pun yang berasal dari koneksi yang tidak aman ditolak.
Memeriksa status enkripsi blob - Azure Storage

Pelajari cara menggunakan portal Azure, PowerShell, atau CLI Azure untuk memeriksa apakah blob yang ditentukan terenkripsi.

Pelatihan

Modul

Amankan akun Azure Storage Anda - Training

Pelajari bagaimana Azure Storage menyediakan keamanan berlapis untuk melindungi data Anda dengan kunci akses, jaringan aman, serta pemantauan Perlindungan Ancaman Tingkat Lanjut.

Sertifikasi

Bersertifikat Microsoft: Rekanan Insinyur Keamanan Azure - Certifications

Menunjukkan keterampilan yang diperlukan untuk menerapkan kontrol keamanan, mempertahankan postur keamanan organisasi, dan mengidentifikasi dan memulihkan kerentanan keamanan.

Acara

FabCon Vegas

31 Mar, 23 - 2 Apr, 23

Peristiwa pembelajaran Fabric, Power BI, dan SQL terbesar. 31 Maret – 2 April. Gunakan kode FABINSIDER untuk menyimpan $400.

Daftar hari ini

Bagikan melalui

Mengaktifkan enkripsi infrastruktur untuk enkripsi ganda data

Membuat akun dengan enkripsi infrastruktur diaktifkan

Membuat cakupan enkripsi dengan enkripsi infrastruktur yang diaktifkan

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: