Tentang enkripsi disk

Secara default, Compute Engine mengenkripsi konten pelanggan dalam penyimpanan. Compute Engine otomatis menggunakan Google-owned and Google-managed encryption keys untuk mengenkripsi data Anda.

Namun, Anda dapat menyesuaikan enkripsi yang digunakan Compute Engine untuk resource Anda dengan menyediakan kunci enkripsi kunci (KEK). Kunci enkripsi kunci tidak mengenkripsi data Anda secara langsung, tetapi mengenkripsi Google-owned and managed keys yang digunakan Compute Engine untuk mengenkripsi data Anda.

Anda memiliki dua opsi untuk memberikan kunci enkripsi kunci:

  • Direkomendasikan. Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan Compute Engine. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

    Anda dapat membuat CMEK secara manual, atau menggunakan Kunci Otomatis Cloud KMS agar kunci dibuat secara otomatis untuk Anda.

    Pada umumnya, setelah membuat disk yang dienkripsi CMEK, Anda tidak perlu menentukan kunci saat menggunakan disk.

  • Anda dapat mengelola kunci enkripsi kunci Anda sendiri di luar Compute Engine, dan memberikan kunci setiap kali Anda membuat atau mengelola disk. Opsi ini dikenal sebagai kunci enkripsi yang disediakan pelanggan (CSEK). Saat mengelola resource yang dienkripsi CSEK, Anda harus selalu menentukan kunci yang digunakan saat mengenkripsi resource.

Untuk informasi selengkapnya tentang setiap jenis enkripsi, lihat Kunci enkripsi yang dikelola pelanggan dan Kunci enkripsi yang disediakan pelanggan.

Untuk menambahkan lapisan keamanan tambahan ke disk Hyperdisk Balanced, aktifkan Mode rahasia. Mode rahasia menambahkan enkripsi berbasis hardware ke disk Hyperdisk Balanced Anda.

Jenis disk yang didukung

Bagian ini mencantumkan jenis enkripsi yang didukung untuk disk dan opsi penyimpanan lainnya yang ditawarkan oleh Compute Engine.

  • Volume Persistent Disk mendukung Google-owned and managed keys, CMEK, dan CSEK.

  • Google Cloud Hyperdisk mendukung CMEK dan Google-owned and managed keys. Anda tidak dapat menggunakan CSEK untuk mengenkripsi Hyperdisk.

  • Disk SSD lokal hanya mendukung Google-owned and managed keys. Anda tidak dapat menggunakan CSEK atau CMEK untuk mengenkripsi disk SSD Lokal.

  • Klon disk dan image mesin mendukung Google-owned and managed keys,CMEK, dan CSEK.

  • Snapshot standar dan snapshot instan mendukung Google-owned and managed keys, CMEK, dan CSEK.

CMEK dengan Kunci Otomatis Cloud KMS

Jika memilih untuk menggunakan kunci Cloud KMS untuk melindungi resource Compute Engine, Anda dapat membuat CMEK secara manual atau menggunakan Cloud KMS Autokey untuk membuat kunci. Dengan Autokey, key ring dan kunci dibuat sesuai permintaan sebagai bagian dari pembuatan resource di Compute Engine. Agen layanan yang menggunakan kunci untuk operasi enkripsi dan dekripsi akan dibuat jika belum ada dan diberi peran Identity and Access Management (IAM) yang diperlukan. Untuk informasi selengkapnya, lihat Ringkasan kunci otomatis.

Untuk mempelajari cara menggunakan CMEK yang dibuat oleh Autokey Cloud KMS guna melindungi resource Compute Engine Anda, lihat Menggunakan Autokey dengan resource Compute Engine.

Snapshot

Saat menggunakan Autokey untuk membuat kunci guna melindungi resource Compute Engine Anda, Autokey tidak akan membuat kunci baru untuk snapshot. Anda harus mengenkripsi snapshot dengan kunci yang sama dengan yang digunakan untuk mengenkripsi disk sumber. Jika Anda membuat snapshot menggunakan Konsol Google Cloud, kunci enkripsi yang digunakan oleh disk akan otomatis diterapkan ke snapshot. Jika membuat snapshot menggunakan gcloud CLI, Terraform, atau Compute Engine API, Anda harus mendapatkan ID resource kunci yang digunakan untuk mengenkripsi disk, lalu menggunakan kunci tersebut untuk mengenkripsi snapshot.

Mengenkripsi disk dengan kunci enkripsi yang dikelola pelanggan

Untuk informasi selengkapnya tentang cara menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) yang dibuat secara manual untuk mengenkripsi disk dan resource Compute Engine lainnya, lihat Melindungi resource menggunakan kunci Cloud KMS.

Mengenkripsi disk dengan kunci enkripsi yang disediakan pelanggan

Untuk mempelajari cara menggunakan kunci enkripsi yang disediakan pelanggan (CSEK) untuk mengenkripsi disk dan resource Compute Engine lainnya, lihat Mengenkripsi disk dengan kunci enkripsi yang disediakan pelanggan.

Melihat informasi tentang enkripsi disk

Disk di Compute Engine dienkripsi dengan salah satu jenis kunci enkripsi berikut:

  • Google-owned and managed keys
  • Kunci enkripsi yang dikelola pelanggan (CMEK)
  • Kunci enkripsi yang disediakan pelanggan (CSEK)

Secara default, Compute Engine menggunakan Google-owned and managed keys.

Untuk melihat jenis enkripsi disk, Anda dapat menggunakan gcloud CLI, konsol Google Cloud, atau Compute Engine API.

Konsol

  1. Di konsol Google Cloud, buka halaman Disks.

    Buka Disk

  2. Di kolom Nama, klik nama disk.

  3. Di tabel Properties, baris berlabel Encryption menunjukkan jenis enkripsi: Dikelola Google, Dikelola pelanggan, atau Disediakan pelanggan.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Gunakan perintah gcloud compute disks describe:

        gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"

    Ganti kode berikut:

    • PROJECT_ID: project ID Anda.
    • ZONE: zona tempat disk Anda berada.

    • DISK_NAME: nama disk.

      Output perintah

      Jika outputnya adalah null, disk akan menggunakan Google-owned and managed key.

      Jika tidak, outputnya adalah objek JSON.

      Jika objek JSON berisi kolom bernama diskEncryptionKey, disk akan dienkripsi. Objek diskEncryptionKey berisi informasi tentang apakah disk dienkripsi CMEK atau CSEK:

      • Jika properti diskEncryptionKey.kmsKeyName ada, disk akan dienkripsi CMEK. Properti kmsKeyName menunjukkan nama kunci tertentu yang digunakan untuk mengenkripsi disk: 
        {
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
      • Jika properti diskEncryptionKey.sha256 ada, disk dienkripsi CSEK. Properti sha256 adalah hash SHA-256 dari kunci enkripsi yang disediakan pelanggan yang melindungi disk. 
          {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }

API

Buat permintaan POST ke metode compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Ganti kode berikut:

  • PROJECT_ID: project ID Anda.
  • ZONE: zona tempat disk Anda berada.
  • DISK_NAME: nama disk

Respons permintaan

Jika responsnya null, disk menggunakan Google-owned and managed key.

Jika tidak, responsnya adalah objek JSON.

Jika objek JSON berisi kolom bernama diskEncryptionKey, disk akan dienkripsi. Objek diskEncryptionKey berisi informasi tentang apakah disk dienkripsi CMEK atau CSEK:

  • Jika properti diskEncryptionKey.kmsKeyName ada, disk akan dienkripsi CMEK. Properti kmsKeyName menunjukkan nama kunci tertentu yang digunakan untuk mengenkripsi disk: 
    {
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
  • Jika properti diskEncryptionKey.sha256 ada, disk dienkripsi CSEK. Properti sha256 adalah hash SHA-256 dari kunci enkripsi yang disediakan pelanggan yang melindungi disk. 
      {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }

Jika disk menggunakan CMEK, Anda dapat menemukan informasi mendetail tentang kunci, key ring, dan lokasinya dengan mengikuti langkah-langkah di Melihat kunci menurut project.

Jika disk menggunakan CSEK, hubungi administrator organisasi Anda untuk mengetahui detail kunci. Dengan menggunakan CMEK, Anda juga dapat melihat resource yang dilindungi oleh kunci tersebut dengan pelacakan penggunaan kunci. Untuk informasi selengkapnya, lihat Melihat penggunaan kunci.

Mode rahasia untuk Hyperdisk Balanced

Jika menggunakan Confidential Computing, Anda dapat memperluas enkripsi berbasis hardware ke volume Hyperdisk Balanced dengan mengaktifkan mode Confidential.

Mode rahasia untuk volume Hyperdisk Balanced memungkinkan Anda mengaktifkan keamanan tambahan tanpa harus memfaktorkan ulang aplikasi. Mode rahasia adalah properti yang dapat Anda tentukan saat membuat volume Hyperdisk Balanced baru.

Volume Hyperdisk Balanced dalam mode Rahasia hanya dapat digunakan dengan Confidential VM.

Untuk membuat volume Hyperdisk Balanced dalam mode Rahasia, lihat Mengaktifkan mode Rahasia untuk volume Hyperdisk Balanced.

Jenis mesin yang didukung untuk volume Hyperdisk Balanced dalam mode Rahasia

Volume Hyperdisk Balanced dalam mode Rahasia hanya dapat digunakan dengan VM Rahasia yang menggunakan jenis mesin N2D.

Wilayah yang didukung untuk volume Hyperdisk Balanced dalam mode Rahasia

Mode rahasia untuk volume Hyperdisk Balanced tersedia di region berikut:

  • europe-west4
  • us-central1
  • us-east4
  • us-east5
  • us-south1
  • us-west4

Batasan untuk volume Hyperdisk Balanced dalam mode Rahasia

  • Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML, dan Hyperdisk Balanced High Availability tidak mendukung Mode rahasia.
  • Anda tidak dapat menangguhkan atau melanjutkan VM yang menggunakan volume Hyperdisk Balanced dalam mode Rahasia.
  • Anda tidak dapat menggunakan Penyimpanan Gabungan Hyperdisk dengan volume Hyperdisk Balanced dalam mode Rahasia.
  • Anda tidak dapat membuat image mesin atau image kustom dari volume Hyperdisk Balanced dalam mode Rahasia.

Langkah berikutnya