Tentang enkripsi disk

Secara default, Compute Engine mengenkripsi konten pelanggan dalam penyimpanan. Compute Engine menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Namun, Anda dapat menyesuaikan enkripsi yang digunakan Compute Engine untuk resource dengan menyediakan kunci enkripsi kunci (KEK). Kunci enkripsi kunci tidak mengenkripsi data Anda secara langsung, tetapi mengenkripsi kunci buatan Google yang digunakan Compute Engine untuk mengenkripsi data Anda.

Anda memiliki dua opsi untuk menyediakan kunci enkripsi kunci:

  • Direkomendasikan. Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan Compute Engine. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

    Anda dapat membuat CMEK secara manual, atau menggunakan Kunci Otomatis Cloud KMS agar kunci dibuat secara otomatis untuk Anda.

    Pada umumnya, setelah membuat disk yang dienkripsi CMEK, Anda tidak perlu menentukan kunci saat menggunakan disk.

  • Anda dapat mengelola kunci enkripsi kunci Anda sendiri di luar Compute Engine, dan memberikan kunci setiap kali Anda membuat atau mengelola disk. Opsi ini dikenal sebagai kunci enkripsi yang disediakan pelanggan (CSEK). Saat mengelola resource yang dienkripsi CSEK, Anda harus selalu menentukan kunci yang digunakan saat mengenkripsi resource.

Untuk informasi selengkapnya tentang setiap jenis enkripsi, lihat Kunci enkripsi yang dikelola pelanggan dan Kunci enkripsi yang disediakan pelanggan.

Untuk menambahkan lapisan keamanan tambahan ke disk Hyperdisk Balanced, aktifkan Mode rahasia. Mode rahasia menambahkan enkripsi berbasis hardware ke disk Hyperdisk Balanced Anda.

Jenis disk yang didukung

Bagian ini mencantumkan jenis enkripsi yang didukung untuk disk dan opsi penyimpanan lainnya yang ditawarkan oleh Compute Engine.

CMEK dengan Kunci Otomatis Cloud KMS

Jika memilih untuk menggunakan kunci Cloud KMS untuk melindungi resource Compute Engine, Anda dapat membuat CMEK secara manual atau menggunakan Cloud KMS Autokey untuk membuat kunci. Dengan Autokey, key ring dan kunci dibuat sesuai permintaan sebagai bagian dari pembuatan resource di Compute Engine. Agen layanan yang menggunakan kunci untuk operasi enkripsi dan dekripsi akan dibuat jika belum ada dan diberi peran Identity and Access Management (IAM) yang diperlukan. Untuk informasi selengkapnya, lihat Ringkasan kunci otomatis.

Untuk mempelajari cara menggunakan CMEK yang dibuat oleh Autokey Cloud KMS untuk melindungi resource Compute Engine Anda, lihat Menggunakan Autokey dengan resource Compute Engine.

Snapshot

Saat menggunakan Autokey untuk membuat kunci guna melindungi resource Compute Engine Anda, Autokey tidak akan membuat kunci baru untuk snapshot. Anda harus mengenkripsi snapshot dengan kunci yang sama dengan yang digunakan untuk mengenkripsi disk sumber. Jika Anda membuat snapshot menggunakan Konsol Google Cloud, kunci enkripsi yang digunakan oleh disk akan otomatis diterapkan ke snapshot. Jika membuat snapshot menggunakan gcloud CLI, Terraform, atau Compute Engine API, Anda harus mendapatkan ID resource kunci yang digunakan untuk mengenkripsi disk, lalu menggunakan kunci tersebut untuk mengenkripsi snapshot.

Mengenkripsi disk dengan kunci enkripsi yang dikelola pelanggan

Untuk mengetahui informasi selengkapnya tentang cara menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) yang dibuat secara manual untuk mengenkripsi disk dan resource Compute Engine lainnya, lihat Melindungi resource menggunakan kunci Cloud KMS.

Mengenkripsi disk dengan kunci enkripsi yang disediakan pelanggan

Untuk mempelajari cara menggunakan kunci enkripsi yang disediakan pelanggan (CSEK) untuk mengenkripsi disk dan resource Compute Engine lainnya, lihat Mengenkripsi disk dengan kunci enkripsi yang disediakan pelanggan.

Melihat informasi tentang enkripsi disk

Disk di Compute Engine dienkripsi dengan kunci enkripsi yang dikelola Google, dikelola pelanggan, atau disediakan pelanggan. Enkripsi yang dikelola Google adalah default.

Untuk melihat jenis enkripsi disk, Anda dapat menggunakan gcloud CLI, konsol Google Cloud, atau Compute Engine API.

Konsol

  1. Di konsol Google Cloud, buka halaman Disks.

    Buka Disk

  2. Di kolom Nama, klik nama disk.

  3. Di tabel Properties, baris berlabel Encryption menunjukkan jenis enkripsi: Dikelola Google, Dikelola pelanggan, atau Disediakan pelanggan.

gcloud

  1. Di konsol Google Cloud, aktifkan Cloud Shell.

    Aktifkan Cloud Shell

    Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.

  2. Gunakan perintah gcloud compute disks describe:

        gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"

    Ganti kode berikut:

    • PROJECT_ID: project ID Anda.
    • ZONE: zona tempat disk Anda berada.

    • DISK_NAME: nama disk.

      Output perintah

      Jika output-nya adalah null, disk akan menggunakan enkripsi yang dikelola Google, yang merupakan default.

      Jika tidak, outputnya adalah objek JSON.

      Jika objek JSON berisi kolom bernama diskEncryptionKey, disk akan dienkripsi. Objek diskEncryptionKey berisi informasi tentang apakah disk dienkripsi CMEK atau CSEK:

      • Jika properti diskEncryptionKey.kmsKeyName ada, disk akan dienkripsi CMEK. Properti kmsKeyName menunjukkan nama kunci tertentu yang digunakan untuk mengenkripsi disk: 
        {
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
      • Jika properti diskEncryptionKey.sha256 ada, disk dienkripsi CSEK. Properti sha256 adalah hash SHA-256 dari kunci enkripsi yang disediakan pelanggan yang melindungi disk. 
          {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }

API

Buat permintaan POST ke metode compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Ganti kode berikut:

  • PROJECT_ID: project ID Anda.
  • ZONE: zona tempat disk Anda berada.
  • DISK_NAME: nama disk

Respons permintaan

Jika responsnya adalah null, disk menggunakan enkripsi yang dikelola Google, yang merupakan default.

Jika tidak, responsnya adalah objek JSON.

Jika objek JSON berisi kolom bernama diskEncryptionKey, disk akan dienkripsi. Objek diskEncryptionKey berisi informasi tentang apakah disk dienkripsi CMEK atau CSEK:

  • Jika properti diskEncryptionKey.kmsKeyName ada, disk akan dienkripsi CMEK. Properti kmsKeyName menunjukkan nama kunci tertentu yang digunakan untuk mengenkripsi disk: 
    {
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
  • Jika properti diskEncryptionKey.sha256 ada, disk dienkripsi CSEK. Properti sha256 adalah hash SHA-256 dari kunci enkripsi yang disediakan pelanggan yang melindungi disk. 
      {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }

Jika disk menggunakan enkripsi CMEK, Anda dapat menemukan informasi mendetail tentang kunci, key ring, dan lokasinya dengan mengikuti langkah-langkah di Melihat kunci menurut project.

Jika disk menggunakan enkripsi CSEK, hubungi administrator organisasi Anda untuk mengetahui detail tentang kunci tersebut. Dengan CMEK, Anda juga dapat melihat resource yang dilindungi oleh kunci tersebut dengan pelacakan penggunaan kunci. Untuk informasi selengkapnya, lihat Melihat penggunaan kunci.

Mode rahasia untuk Hyperdisk Balanced

Jika menggunakan Confidential Computing, Anda dapat memperluas enkripsi berbasis hardware ke volume Hyperdisk Balanced dengan mengaktifkan mode Confidential.

Mode rahasia untuk volume Hyperdisk Balanced memungkinkan Anda mengaktifkan keamanan tambahan tanpa harus memfaktorkan ulang aplikasi. Mode rahasia adalah properti yang dapat Anda tentukan saat membuat volume Hyperdisk Balanced baru.

Volume Hyperdisk Balanced dalam mode Rahasia hanya dapat digunakan dengan Confidential VM.

Untuk membuat volume Hyperdisk Balanced dalam mode Rahasia, lihat Mengaktifkan mode Rahasia untuk volume Hyperdisk Balanced.

Jenis mesin yang didukung untuk volume Hyperdisk Balanced dalam mode Rahasia

Volume Hyperdisk Balanced dalam mode Rahasia hanya dapat digunakan dengan VM Rahasia yang menggunakan jenis mesin N2D.

Wilayah yang didukung untuk volume Hyperdisk Balanced dalam mode Rahasia

Mode rahasia untuk volume Hyperdisk Balanced tersedia di region berikut:

  • europe-west4
  • us-central1
  • us-east4
  • us-east5
  • us-south1
  • us-west4

Batasan untuk volume Hyperdisk Balanced dalam mode Rahasia

  • Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML, dan Hyperdisk Balanced High Availability tidak mendukung Mode rahasia.
  • Anda tidak dapat menangguhkan atau melanjutkan VM yang menggunakan volume Hyperdisk Balanced dalam mode Rahasia.
  • Anda tidak dapat menggunakan Penyimpanan Gabungan Hyperdisk dengan volume Hyperdisk Balanced dalam mode Rahasia.
  • Anda tidak dapat membuat image mesin atau image kustom dari volume Hyperdisk Balanced dalam mode Rahasia.

Langkah selanjutnya