Assalamualaikum!

Pada jurnal ini saya ingin share mengenai bagaimana meng-enkripsi sebuah disk di Azure Cloud Platform menggunakna Azure Disk Encryption atau bisa disingkat ADE.

Pada Azure, ada dua pilihan yang bisa digunakan untuk meng-enkripsi sebuah disk. Pertama, menggunakan Storage Service Encryption (SSE) dan kedua adalah Azure Disk Encryption (ADE).

Untuk Storage Service Encryption (SSE) mungkin akan dibahas di jurnal lain, khusus disini hanya akan dibahas mengenai Azure Disk Encryption (ADE). ADE sendiri menggunakan BitLocker untuk meng-enkripsi disk di windows, dan DM-Crypt untuk sistem operasi Linux. Dia akan meng-enkripsi disk, dan key nya nanti disimpan di tempat yang disebut Azure Key Vaults.

Jadi, ketika ingin meng-enkripsi sebuah disk menggunakan Azure Disk Encryption (ADE) tahap-tahapannya adalah :

  • Membuat key vault.
  • Mengatur policy dari si key vault.
  • Menggunakan key vault tadi untuk menyimpan key.

Mari kita praktik!

Pertama, saya coba buat disk dengan sistem operasi windows server 2016, ini hanya opsional. Bisa disesuaikan dengan vm masing-masing ya :

$location = (Get-AzResourceGroup -name <resource_group>).location
$vmName = "fmdata-vm01"
$rgName = "<resource_group>"
New-AzVm `
    -ResourceGroupName $rgName `
    -Name $vmName `
    -Location $location `
    -OpenPorts 3389

d1

Selanjutnya, bisa gunakan variabel dan verifikasi disk dalam vm yang sudah dibuat :

$vm = Get-AzVM -Name $vmName -ResourceGroupName $rgName
$vm.StorageProfile.OSDisk

d2

Bisa diverifikasi juga, apakah disk sudah ter-enkripsi atau belum :

Get-AzVmDiskEncryptionStatus `
    -ResourceGroupName $rgName `
    -VMName $vmName

d3

Oke, mari kita coba meng-enkripsi disk. Pertama buat key vault nya :

$keyVaultName = "keys-ananda
New-AzKeyVault -VaultName $keyVaultName `
    -Location $location `
    -ResourceGroupName $rgName `
    -EnabledForDiskEncryption

d4

Lalu mulai enkripsi disk, simpan key nya ke dalam key vault yang sudah dibuat tadi ya :

$keyVault = Get-AzKeyVault `
    -VaultName $keyVaultName `
    -ResourceGroupName $rgName
Set-AzVmDiskEncryptionExtension `
    -ResourceGroupName $rgName `
    -VMName $vmName `
    -VolumeType All `
    -DiskEncryptionKeyVaultId $keyVault.ResourceId `
    -DiskEncryptionKeyVaultUrl $keyVault.VaultUri `
    -SkipVmBackup

d5

Verifikasi. Pastikan statusnya Encrypted :

Get-AzVmDiskEncryptionStatus -ResourceGroupName $rgName -VMName $vmName

d6

 

 

 

Sekian!