Aktivieren von Infrastruktur-Verschlüsselung für Mehrfachverschlüsselung von Daten

Alle Daten werden in Azure Storage automatisch in einem Speicherkonto auf dem Servicelevel mit der 256-Bit-AES-Verschlüsselung verschlüsselt, einer der stärksten verfügbaren Blockchiffren, und konform mit dem FIPS 140-2-Standard. Kunden, welche besonders stark auf Datensicherheit achten müssen, können auch 256-Bit-AES-Verschlüsselung auf Azure Storage-Infrastrukturebene für Mehrfachverschlüsselung aktivieren. Die doppelte Verschlüsselung von Azure Storage-Daten schützt vor dem Szenario, dass einer der Verschlüsselungsalgorithmen oder Schlüssel kompromittiert wurde. In diesem Szenario werden die Daten weiterhin durch die zusätzliche Verschlüsselungsebene geschützt.

Die Infrastrukturverschlüsselung kann für das gesamte Speicherkonto oder für einen Verschlüsselungsbereich innerhalb eines Kontos aktiviert werden. Wenn die Infrastrukturverschlüsselung in einem Speicherkonto oder Verschlüsselungsbereich aktiviert ist, werden Daten zweifach verschlüsselt: auf Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln.

Die Verschlüsselung auf dem Servicelevel unterstützt die Verwendung von Schlüsseln, die von Microsoft oder vom Kunden verwaltet werden, mit Azure Key Vault oder Azure Key Vault Managed HSM (Hardware Security Module, Vorschau). Die Verschlüsselung auf Infrastrukturebene basiert auf von Microsoft verwalteten Schlüsseln und verwendet immer einen separaten Schlüssel. Weitere Informationen zur Schlüsselverwaltung mit Azure Storage-Verschlüsselung finden Sie unter Informationen zur Verwaltung von Verschlüsselungsschlüsseln.

Für die Mehrfachverschlüsselung Ihrer Daten müssen Sie zunächst ein Speicherkonto oder einen Verschlüsselungsbereich erstellen, welcher für Infrastrukturverschlüsselung konfiguriert ist. Dieser Artikel beschreibt, wie Sie Infrastrukturverschlüsselung aktivieren.

Erstellen eines Kontos mit aktivierter Infrastrukturverschlüsselung

Um die Infrastrukturverschlüsselung für ein Speicherkonto zu aktivieren, müssen Sie ein Speicherkonto für die Verwendung der Infrastrukturverschlüsselung zum Zeitpunkt der Kontoerstellung konfigurieren. Die Infrastrukturverschlüsselung kann nicht aktiviert oder deaktiviert werden, nachdem das Konto erstellt wurde. Das Speicherkonto muss vom Typ „Allgemein v2“ oder „Premium-Blockblob“ sein.

Führen Sie die folgenden Schritte aus, um über das Azure-Portal ein Speicherkonto mit aktivierter Infrastrukturverschlüsselung zu erstellen:

  1. Navigieren Sie im Azure-Portal zur Seite Speicherkonten.

  2. Wählen Sie die Schaltfläche Hinzufügen aus, um ein neues Speicherkonto vom Typ „Allgemein v2“ oder „Premium-Blockblob“ hinzuzufügen.

  3. Suchen Sie auf der Registerkarte Erweitert nach dem Verschlüsselungstyp Infrastruktur, und wählen Sie Aktiviert aus.

  4. Wählen Sie Überprüfen + erstellen aus, um das Erstellen des Speicherkontos abzuschließen.

    Screenshot showing how to enable infrastructure encryption when creating account

Führen Sie die folgenden Schritte im Azure-Portal aus, um zu überprüfen, ob die Infrastrukturverschlüsselung für ein Speicherkonto aktiviert ist:

  1. Navigieren Sie zum Speicherkonto im Azure-Portal.

  2. Wählen Sie unter Einstellungen die Option Verschlüsselung aus.

    Screenshot showing how to verify that infrastructure encryption is enabled for account

Azure Policy stellt eine integrierte Richtlinie zur Verfügung, mit der die Aktivierung der Infrastrukturverschlüsselung für ein Speicherkonto erforderlich ist. Weitere Informationen finden Sie in Integrierte Azure Policy-Richtliniendefinitionen im Abschnitt Speicher.

Erstellen eines Verschlüsselungsbereichs mit aktivierter Infrastrukturverschlüsselung

Wenn die Infrastrukturverschlüsselung für ein Konto aktiviert ist, verwendet jeder für dieses Konto erstellte Verschlüsselungsbereich automatisch die Infrastrukturverschlüsselung. Wenn die Infrastrukturverschlüsselung auf Kontoebene nicht aktiviert ist, haben Sie die Möglichkeit, sie zum Erstellungszeitpunkt des entsprechenden Verschlüsselungsbereichs zu aktivieren. Die Infrastrukturverschlüsselungseinstellung für einen Verschlüsselungsbereich kann nach dem Erstellen des Bereichs nicht mehr geändert werden. Weitere Informationen finden Sie unter Erstellen eines Verschlüsselungsbereichs.

Nächste Schritte