Serverseitige Verschlüsselung von Azure Disk Storage

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Uniforme Skalierungsgruppen

Die meisten Azure verwalteten Datenträger werden mit Azure Storage Verschlüsselung verschlüsselt, die serverseitige Verschlüsselung (SSE) verwendet, um Ihre Daten zu schützen und Ihnen dabei zu helfen, Ihre Unternehmenssicherheits- und Complianceverpflichtungen zu erfüllen. Azure Storage Verschlüsselung verschlüsselt Ihre Daten, die auf Azure verwalteten Laufwerken (Betriebssystemlaufwerken und Datenlaufwerken) gespeichert sind, standardmäßig, wenn sie in der Cloud gespeichert werden. Datenträger mit aktivierter Verschlüsselung auf dem Host werden jedoch nicht über Azure Storage verschlüsselt. Für Datenträger mit aktivierter Verschlüsselung auf dem Host stellt der Server, auf dem Ihr virtueller Computer gehostet wird, die Verschlüsselung für Ihre Daten bereit, und diese verschlüsselten Daten fließen in Azure Storage.

Die Daten auf von Azure verwalteten Datenträgern werden transparent mit 256-Bit-AES-Verschlüsselung verschlüsselt, einer der stärksten verfügbaren Blockchiffren, und sind FIPS 140-2-kompatibel. Weitere Informationen zu den kryptografischen Modulen, die Azure verwalteten Datenträgern zugrunde liegen, finden Sie unter Cryptography API: Next Generation

Azure Storage Verschlüsselung wirkt sich nicht auf die Leistung von verwalteten Datenträgern aus, und es gibt keine zusätzlichen Kosten. Weitere Informationen zur Azure Storage Verschlüsselung finden Sie unter Azure Storage Encryption.

Informationen zur Verwaltung von Verschlüsselungsschlüsseln

Sie können von der Plattform verwaltete Schlüssel für die Verschlüsselung der verwalteten Datenträger verwenden oder die Verschlüsselung mit eigenen Schlüsseln verwalten. Wenn Sie die Verschlüsselung mit eigenen Schlüsseln verwalten möchten, können Sie einen vom Kunden verwalteten Schlüssel angeben, der zum Verschlüsseln und Entschlüsseln aller Daten in verwalteten Datenträgern verwendet werden soll.

In den folgenden Abschnitten werden die einzelnen Optionen für die Schlüsselverwaltung ausführlicher beschrieben.

Von der Plattform verwaltete Schlüssel

Verwaltete Datenträger verwenden standardmäßig von der Plattform verwaltete Verschlüsselungsschlüssel. Alle verwalteten Datenträger, Momentaufnahmen, Images und Daten, die auf vorhandene verwaltete Datenträger geschrieben wurden, werden im Ruhezustand automatisch mit von der Plattform verwalteten Schlüsseln verschlüsselt. Plattformverwaltete Schlüssel werden von Microsoft verwaltet.

Vom Kunden verwaltete Schlüssel

Sie können die Verschlüsselung auf der Ebene verwalteter Datenträger mit eigenen Schlüsseln verwalten. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Vom Kunden verwaltete Schlüssel ermöglichen eine höhere Flexibilität bei der Verwaltung von Zugriffssteuerungen.

Sie müssen einen der folgenden Azure Schlüsselspeicher verwenden, um Ihre vom Kunden verwalteten Schlüssel zu speichern:

• Azure Key Vault (Premium-Stufe empfohlen für HSM-gesicherten Schlüsselschutz)
• Azure Key Vault Managed Hardware Security Module (HSM)

Sie können entweder your RSA keys in Ihr Key Vault importieren oder neue RSA-Schlüssel in Azure Key Vault generieren. Azure verwaltete Datenträger verarbeiten die Verschlüsselung und die Entschlüsselung auf vollständig transparente Weise mit Hilfe der Umschlagverschlüsselung. Daten werden mithilfe eines AES-256 basierten Datenverschlüsselungsschlüssels (DEK) verschlüsselt, der wiederum mit Ihren Schlüsseln geschützt wird. Der Speicherdienst generiert Datenverschlüsselungsschlüssel und verschlüsselt sie mit vom Kunden verwalteten Schlüsseln unter Verwendung der RSA-Verschlüsselung. Mithilfe der Umschlagverschlüsselung können Sie Ihre Schlüssel gemäß Ihren Kompatibilitätsrichtlinien regelmäßig rotieren (ändern), ohne Ihre VMs zu beeinträchtigen. Wenn Sie Ihre Schlüssel wechseln, umhüllt der Speicherdienst die Datenverschlüsselungsschlüssel erneut mit der neuen vom Kunden verwalteten Schlüsselversion. Die zugrunde liegenden Datenträgerdaten selbst werden nicht erneut verschlüsselt. Sowohl alte als auch neue Schlüsselversionen müssen aktiviert bleiben, bis die Neubehandlung abgeschlossen ist.

Verwaltete Datenträger sowie der Key Vault oder der verwaltete HSM müssen sich in derselben Azure-Region befinden, können jedoch in verschiedenen Abonnements verwendet werden. Sie müssen sich auch im gleichen Microsoft Entra Mandanten befinden, es sei denn, Sie verwenden Encrypt verwaltete Datenträger mit mandantenübergreifenden vom Kunden verwalteten Schlüsseln.

Vollständige Kontrolle über Ihre Schlüssel

Sie müssen in Ihrem Key Vault oder verwaltetem HSM Zugriff auf verwaltete Datenträger gewähren, um Ihre Schlüssel zum Verschlüsseln und Entschlüsseln des DEK zu verwenden. Dies ermöglicht eine umfassende Kontrolle über Ihre Daten und Schlüssel. Sie können Ihre Schlüssel jederzeit deaktivieren oder den Zugriff auf verwaltete Datenträger widerrufen. Sie können die Verschlüsselungsschlüsselverwendung auch mit Azure Key Vault Überwachung überwachen, um sicherzustellen, dass nur verwaltete Datenträger oder andere vertrauenswürdige Azure Dienste auf Ihre Schlüssel zugreifen.

Das folgende Diagramm zeigt, wie verwaltete Datenträger Microsoft Entra ID und Azure Key Vault verwenden, um Anforderungen mit dem vom Kunden verwalteten Schlüssel zu stellen:

In der folgenden Liste wird das Diagramm ausführlicher erläutert:

1. Ein Azure Key Vault-Administrator erstellt Key Vault-Ressourcen.
2. Der key vault-Administrator importiert entweder ihre RSA-Schlüssel in Key Vault oder generiert neue RSA-Schlüssel in Key Vault.
3. Dieser Administrator erstellt eine Instanz der Datenträgerverschlüsselungssatzressource und gibt eine Azure Key Vault-ID und eine Schlüssel-URL an. Der Datenträgerverschlüsselungssatz ist eine neue Ressource, die zur Vereinfachung der Schlüsselverwaltung für verwaltete Datenträger eingeführt wurde.
4. Wenn ein Datenträgerverschlüsselungssatz erstellt wird, wird eine system zugewiesene verwaltete Identität in Microsoft Entra ID erstellt und dem Datenträgerverschlüsselungssatz zugeordnet.
5. Der Azure Key Vault-Administrator gewährt dann der verwalteten Identität die Berechtigung zum Ausführen von Operationen im Key Vault.
6. Ein VM-Benutzer erstellt Datenträger, indem er sie dem Datenträgerverschlüsselungssatz zuordnet. Der VM-Benutzer kann auch die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln für vorhandene Ressourcen aktivieren, indem er diese dem Datenträgerverschlüsselungssatz zuordnet.
7. Verwaltete Datenträger verwenden die verwaltete Identität, um Anforderungen an die Azure Key Vault zu senden.
8. Zum Lesen oder Schreiben von Daten senden verwaltete Datenträger Anforderungen an Azure Key Vault, um den Datenverschlüsselungsschlüssel zu verschlüsseln (verpacken) und zu entschlüsseln (auspacken), um die Verschlüsselung und Entschlüsselung der Daten durchzuführen.

Informationen zum Widerrufen des Zugriffs auf vom Kunden verwaltete Schlüssel finden Sie unter Azure Key Vault PowerShell und Azure Key Vault CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten im Speicherkonto effektiv blockiert, da auf den Verschlüsselungsschlüssel durch Azure Storage nicht zugegriffen werden kann.

Automatische Rotation von kundenseitig verwalteten Schlüsseln

Im Allgemeinen gilt: Wenn Sie kundenseitig verwaltete Schlüssel verwenden, sollten Sie die automatische Schlüsselrotation zur aktuellen Schlüsselversion aktivieren. Die automatische Schlüsseldrehung trägt dazu bei, dass Ihre Schlüssel sicher sind. Ein Datenträger verweist über den Datenträgerverschlüsselungssatz auf einen Schlüssel. Wenn Sie die automatische Rotation für einen Datenträgerverschlüsselungssatz aktivieren, aktualisiert das System automatisch alle verwalteten Datenträger, Momentaufnahmen und Images, die auf den Datenträgerverschlüsselungssatz verweisen, um die neue Version des Schlüssels innerhalb von einer Stunde zu verwenden. Informationen zum Aktivieren von vom Kunden verwalteten Schlüsseln mit automatischer Schlüsselrotation finden Sie im Abschnitt Einrichten eines Azure Key Vault und DiskEncryptionSet mit automatischer Schlüsselrotation.

Wenn Sie die automatische Schlüsselrotation nicht aktivieren können, können Sie andere Methoden verwenden, um vor dem Ablauf von Schlüsseln informiert zu werden. Auf diese Weise können Sie sicherstellen, dass Ihre Schlüssel vor dem Ablauf rotiert werden und so die Geschäftskontinuität gewährleisten. Sie können entweder eine Azure Policy oder Azure Event Grid verwenden, um eine Benachrichtigung zu senden, wenn ein Schlüssel bald abläuft.

Beschränkungen

Vorerst gelten für vom Kunden verwaltete Schlüssel die folgenden Einschränkungen:

• Wenn dieses Feature für einen Datenträger mit inkrementellen Momentaufnahmen aktiviert ist, kann es auf diesem Datenträger oder seinen Momentaufnahmen nicht deaktiviert werden. Um dieses Problem zu umgehen, kopieren Sie alle Daten auf einen anderen verwalteten Datenträger ohne kundenseitig verwaltete Schlüssel. Dazu können Sie entweder die Azure CLI oder das modul Azure PowerShell verwenden.
• Ein Datenträger und alle zugehörigen inkrementellen Momentaufnahmen müssen denselben Datenträgerverschlüsselungssatz aufweisen.
• Es werden ausschließlich Software- und HSM RSA-Schlüssel der Größen 2.048 Bit, 3.072 Bit und 4.096 Bit unterstützt.
  • HSM-Schlüssel erfordern die Premium-Ebene der Azure-Schlüsseltresore.
• Nur für Disk Ultra- oder SSD Premium v2-Datenträger:
  • (Vorschau) Vom Benutzer zugewiesene verwaltete Identitäten sind für Ultra Disks und Premium SSD v2-Datenträger verfügbar, die mit vom Kunden verwalteten Schlüsseln verschlüsselt sind.
• Die meisten Ressourcen, die sich auf Ihre vom Kunden verwalteten Schlüssel (Datenträgerverschlüsselungssätze, VMs, Datenträger und Momentaufnahmen) beziehen, müssen sich im selben Abonnement und in derselben Region befinden.
  • Azure Key Vaults können aus einem anderen Abonnement verwendet werden, müssen sich aber in derselben Region befinden wie Ihre Datenträgerverschlüsselungsgruppe. Azure Key Vaults in verschiedenen Microsoft Entra Mandanten werden für verwaltete Datenträger unterstützt. Ausführliche Informationen finden Sie unter Verschlüsseln verwalteter Datenträger mit mandantenübergreifenden vom Kunden verwalteten Schlüsseln.
• Datenträger, die mit vom Kunden verwalteten Schlüsseln verschlüsselt sind, können nur zu einer anderen Ressourcengruppe wechseln, wenn die virtuelle Maschine, der sie zugeordnet sind, freigegeben ist.
• Mit kundenseitig verwalteten Schlüsseln verschlüsselte Datenträger, Momentaufnahmen und Images können nicht zwischen Abonnements verschoben werden.
• Verwaltete Datenträger, die derzeit oder zuvor mit Azure Disk Encryption verschlüsselt wurden, können nicht mit vom Kunden verwalteten Schlüsseln verschlüsselt werden.
• Pro Region und Abonnement können nur bis zu 5.000 Datenträgerverschlüsselungssätze erstellt werden.
• Informationen über die Verwendung von kundenseitig verwalteter Schlüssel mit Shared Image Gallerys finden Sie unter Vorschau: Verwenden von kundenseitig verwalteten Schlüsseln zum Verschlüsseln von Images.

Unterstützte Regionen

Von Kunden verwaltete Schlüssel sind in allen Regionen verfügbar, in denen verwaltete Datenträger verfügbar sind.

Informationen zum Aktivieren von vom Kunden verwalteten Schlüsseln für verwaltete Datenträger finden Sie in unseren Artikeln zur Aktivierung entweder mit dem Modul Azure PowerShell, dem Azure CLI oder dem Azure Portal.

Ein Codebeispiel finden Sie unter Erstellen eines verwalteten Datenträgers auf der Grundlage einer Momentaufnahme mithilfe der Befehlszeilenschnittstelle.

Verschlüsselung auf dem Host: End-to-End-Verschlüsselung für Ihre VM-Daten

Wenn Sie die Verschlüsselung auf dem Host aktivieren, wird diese Verschlüsselung auf dem VM-Host selbst gestartet, dem Azure Server, dem Ihre VM zugewiesen ist. Die Daten für Ihren temporären Datenträger sowie für den Cache von Betriebssystemdatenträgern und regulären Datenträgern werden auf diesem VM-Host gespeichert. Nach Aktivierung der Verschlüsselung auf dem Host werden alle diese Daten sowohl im Ruhezustand als auch bei der Übertragung an den Speicherdienst verschlüsselt, wo sie gespeichert werden. Mit der Verschlüsselung auf dem Host erreichen Sie also im Grunde eine End-to-End-Verschlüsselung Ihrer Daten. Bei der Verschlüsselung auf dem Host wird weder die VM-CPU beansprucht noch die Leistung Ihrer VM beeinträchtigt.

Temporäre Datenträger und kurzlebige Betriebssystemdatenträger werden im Ruhezustand mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn Sie die End-to-End-Verschlüsselung aktivieren. Der Cache von Betriebssystemdatenträgern und regulären Datenträgern wird im Ruhezustand entweder mit kundenseitig verwalteten Schlüsseln oder mit plattformseitig verwalteten Schlüsseln verschlüsselt. Dies hängt vom ausgewählten Datenträgerverschlüsselungstyp ab. Wenn ein Datenträger beispielsweise mit kundenseitig verwalteten Schlüsseln verschlüsselt ist, wird der Cache für den Datenträger ebenfalls mit kundenseitig verwalteten Schlüsseln verschlüsselt. Ist ein Datenträger dagegen mit plattformseitig verwalteten Schlüsseln verschlüsselt, wird auch der Cache für den Datenträger mit plattformseitig verwalteten Schlüsseln verschlüsselt.

Beschränkungen

• Kann weder auf virtuellen Maschinen (VMs) noch auf VM-Skalierungsgruppen aktiviert werden, die derzeit oder jemals die Azure-Diskverschlüsselung aktiviert hatten.
• Azure Disk Encryption kann nicht auf Datenträgern aktiviert werden, für die die Verschlüsselung auf dem Host aktiviert ist.
• Die Verschlüsselung kann für vorhandene VM-Skalierungsgruppen aktiviert werden. Es werden jedoch nur neue VMs automatisch verschlüsselt, die nach dem Aktivieren der Verschlüsselung erstellt wurden.
• Bei vorhandenen VMs muss deren Zuordnung aufgehoben und sie müssen erneut zugeordnet werden, damit sie verschlüsselt werden können.

Die folgenden Einschränkungen gelten nur für Ultra Disks und Premium SSD v2:

• Festplatten mit einer Sektorgröße von 512e müssen nach dem 13. Mai 2023 erstellt worden sein.
  • Wenn Ihr Datenträger vor diesem Datum erstellt wurde, erstellen Sie eine Momentaufnahme Ihres Datenträgers und erstellen Sie dann mit dieser Momentaufnahme einen neuen Datenträger.

Unterstützte VM-Größen

Die vollständige Liste unterstützter VM-Größen kann programmgesteuert per Pull abgerufen werden. Informationen zum programmgesteuerten Abrufen dieser Dateien finden Sie im Abschnitt "Unterstützte VM-Größen finden" des Azure PowerShell Moduls oder Azure CLI Artikels.

Informationen zum Aktivieren der Ende-zu-Ende-Verschlüsselung mithilfe der Verschlüsselung auf dem Host finden Sie in unseren Artikeln, in denen beschrieben wird, wie Sie es entweder mit dem Azure PowerShell-Modul, dem Azure CLI oder dem Azure-Portal aktivieren können.

Doppelte Verschlüsselung im Ruhezustand

Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Diese neue Ebene kann auf Datenträger für persistente Betriebssysteme und für Daten, Momentaufnahmen und Images angewendet werden, um sie im Ruhezustand mit doppelter Verschlüsselung zu verschlüsseln.

Beschränkungen

Die ruhende doppelte Verschlüsselung wird derzeit nicht für Ultra Disks oder SSD Premium v2-Datenträgern unterstützt.

Informationen zum Aktivieren der Mehrfachverschlüsselung ruhender Daten für verwaltete Datenträger finden Sie unter Aktivieren der Mehrfachverschlüsselung für ruhende Daten auf verwalteten Datenträgern.

Verschlüsselung auf Host im Vergleich zur Azure-Datenträgerverschlüsselung

Azure Disk Encryption nutzt entweder das Feature DM-Crypt von Linux oder das Feature BitLocker von Windows verwaltete Datenträger mit vom Kunden verwalteten Schlüsseln innerhalb der Gast-VM zu verschlüsseln. Die serverseitige Verschlüsselung mit Verschlüsselung auf dem Host wird durch ADE verbessert. Bei Verschlüsselung auf dem Host werden Daten für den temporären Datenträger und den Cache des Betriebssystems/des Datenträgers auf diesem VM-Host gespeichert. Nach Aktivierung der Verschlüsselung auf dem Host werden alle diese Daten sowohl im Ruhezustand als auch bei der Übertragung an den Speicherdienst verschlüsselt, wo sie gespeichert werden. Mit der Verschlüsselung auf dem Host erreichen Sie also im Grunde eine End-to-End-Verschlüsselung Ihrer Daten. Bei der Verschlüsselung auf dem Host wird weder die VM-CPU beansprucht noch die Leistung Ihrer VM beeinträchtigt.

Nächste Schritte

• Aktivieren Sie die End-to-End-Verschlüsselung mithilfe der Verschlüsselung auf Host entweder mit dem Modul Azure PowerShell, dem Azure CLI oder dem Azure Portal.
• Informationen zum Aktivieren der Mehrfachverschlüsselung ruhender Daten für verwaltete Datenträger finden Sie unter Aktivieren der Mehrfachverschlüsselung für ruhende Daten auf verwalteten Datenträgern.
• Aktivieren Sie vom Kunden verwaltete Schlüssel für verwaltete Datenträger entweder mit dem Modul Azure PowerShell, dem Azure CLI oder dem Azure Portal.
• Migrate von Azure Disk Encryption zur serverseitigen Verschlüsselung
• Erkunden Sie die Azure Resource Manager-Vorlagen zum Erstellen von verschlüsselten Datenträgern mit kundenverwalteten Schlüsseln
• What is Azure Key Vault?