Azure Storage-Verschlüsselung für ruhende DatenAzure Storage encryption for data at rest

Azure Storage verschlüsselt Ihre Daten beim Speichern in der Cloud automatisch.Azure Storage automatically encrypts your data when persisting it to the cloud. Die Verschlüsselung schützt Ihre Daten und unterstützt Sie beim Einhalten der Sicherheits- und Complianceanforderungen Ihrer Organisation.Encryption protects your data and to help you to meet your organizational security and compliance commitments. Daten in Azure Storage werden auf transparente Weise mit der AES-256-Verschlüsselung ver- und entschlüsselt, einer der stärksten verfügbaren Blockchiffren, und sind mit dem FIPS 140-2-Standard konform.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. Die Azure Storage-Verschlüsselung ähnelt der BitLocker-Verschlüsselung unter Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

Die Azure Storage-Verschlüsselung wird für alle neuen und vorhandenen Speicherkonten aktiviert und kann nicht deaktiviert werden.Azure Storage encryption is enabled for all new and existing storage accounts and cannot be disabled. Da Ihre Daten standardmäßig geschützt werden, müssen Sie weder Code noch Anwendungen ändern, um die Azure Storage-Verschlüsselung nutzen zu können.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

Speicherkonten werden unabhängig von ihrer Leistungsstufe (Standard oder Premium) und ihrem Bereitstellungsmodell (Azure Resource Manager oder klassisch) verschlüsselt.Storage accounts are encrypted regardless of their performance tier (standard or premium) or deployment model (Azure Resource Manager or classic). Alle Redundanzoptionen in Azure Storage unterstützten die Verschlüsselung, und alle Kopien eines Speicherkontos werden verschlüsselt.All Azure Storage redundancy options support encryption, and all copies of a storage account are encrypted. Alle Azure Storage-Ressourcen werden verschlüsselt, z. B. Blobs, Datenträger, Dateien, Warteschlangen und Tabellen.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Objektmetadaten werden ebenfalls verschlüsselt.All object metadata is also encrypted.

Die Verschlüsselung hat keine Auswirkungen auf die Leistung von Azure Storage.Encryption does not affect Azure Storage performance. Es fallen keine zusätzlichen Kosten für die Azure Storage-Verschlüsselung an.There is no additional cost for Azure Storage encryption.

Weitere Informationen zu den kryptografischen Modulen, die der Azure Storage-Verschlüsselung zugrunde liegen, finden Sie unter Kryptografie-API: Die nächste Generation.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

SchlüsselverwaltungKey management

Sie können von Microsoft verwaltete Schlüssel für die Verschlüsselung Ihres Speicherkontos nutzen, oder Sie können die Verschlüsselung mit Ihren eigenen Schlüsseln mithilfe vom Azure Key Vault durchführen.You can rely on Microsoft-managed keys for the encryption of your storage account, or you can manage encryption with your own keys, together with Azure Key Vault.

Von Microsoft verwaltete SchlüsselMicrosoft-managed keys

Standardmäßig verwendet Ihr Speicherkonto von Microsoft verwaltete Verschlüsselungsschlüssel.By default, your storage account uses Microsoft-managed encryption keys. Im Bereich Verschlüsselung im Azure-Portal können Sie sich wie auf dem folgenden Screenshot gezeigt die Verschlüsselungseinstellungen für Ihr Speicherkonto ansehen:You can see the encryption settings for your storage account in the Encryption section of the Azure portal, as shown in the following image.

Konto, das mit von Microsoft verwalteten Schlüsseln verschlüsselt wird

Vom Kunden verwaltete SchlüsselCustomer-managed keys

Sie können die Azure Storage-Verschlüsselung auch mit von Kunden verwalteten Schlüsseln verwalten.You can manage Azure Storage encryption with customer-managed keys. Mit von Kunden verwalteten Schlüsseln können Sie Zugriffssteuerungen flexibler erstellen, rotieren, deaktivieren und widerrufen.Customer-managed keys give you more flexibility to create, rotate, disable, and revoke access controls. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen.You can also audit the encryption keys used to protect your data.

Verwenden Sie den Azure Key Vault, um Ihre Schlüssel zu verwalten und die Schlüsselnutzung zu überwachen.Use Azure Key Vault to manage your keys and audit your key usage. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder mit den Azure Key Vault-APIs Schlüssel generieren.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Das Speicherkonto und der Schlüsseltresor müssen sich in derselben Region befinden, dürfen aber zu verschiedenen Abonnements gehören.The storage account and the key vault must be in the same region, but they can be in different subscriptions. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?).For more information about Azure Key Vault, see What is Azure Key Vault?.

Informationen zum Widerrufen von Kunden verwalteter Schlüsseln finden Sie in den Artikeln zu Azure Key Vault-PowerShell und zur Azure Key Vault-CLI.To revoke access to customer-managed keys, see Azure Key Vault PowerShell and Azure Key Vault CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten im Speicherkonto blockiert, da Azure Storage keinen Zugriff mehr auf den Verschlüsselungsschlüssel hat.Revoking access effectively blocks access to all data in the storage account, as the encryption key is inaccessible by Azure Storage.

In den folgenden Artikeln erhalten Sie Informationen zum Verwenden von Kunden verwalteter Schlüsseln mit Azure Storage:To learn how to use customer-managed keys with Azure Storage, see one of these articles:

Wichtig

Von Kunden verwaltete Schlüssel basieren auf verwalteten Identitäten für Azure-Ressourcen, einem Feature von Azure Active Directory (Azure AD).Customer-managed keys rely on managed identities for Azure resources, a feature of Azure Active Directory (Azure AD). Wenn Sie ein Abonnement aus einem Azure AD-Verzeichnis in ein anderes übertragen, werden verwaltete Identitäten nicht aktualisiert, und von Kunden verwaltete Schlüssel funktionieren möglicherweise nicht mehr.When you transfer a subscription from one Azure AD directory to another, managed identities are not updated and customer-managed keys may no longer work. Weitere Informationen finden Sie in Häufig gestellte Fragen und bekannte Probleme mit verwalteten Identitäten für Azure-Ressourcen unter Übertragen eines Abonnements zwischen Azure AD-Verzeichnissen.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Hinweis

Von Kunden verwaltete Schlüssel werden nicht für verwaltete Azure-Datenträger unterstützt.Customer-managed keys are not supported for Azure managed disks.

Vergleich: Azure Storage-Verschlüsselung und DatenträgerverschlüsselungAzure Storage encryption versus disk encryption

Mit der Azure Storage-Verschlüsselung werden alle Azure-Speicherkonten und darin enthaltene Ressourcen verschlüsselt, z. B. Seitenblobs, auf denen Datenträger auf Azure-VMs basieren.With Azure Storage encryption, all Azure Storage accounts and the resources they contain are encrypted, including the page blobs that back Azure virtual machine disks. Darüber hinaus können Datenträger von Azure-VMs mit Azure Disk Encryption verschlüsselt werden.Additionally, Azure virtual machine disks may be encrypted with Azure Disk Encryption. Für Azure Disk Encryption wird die branchenübliche BitLocker-Verschlüsselung unter Windows und DM-Crypt unter Linux verwendet, um betriebssystembasierte Verschlüsselungslösungen bereitzustellen, die mit dem Azure Key Vault integriert werden können.Azure Disk Encryption uses industry-standard BitLocker on Windows and DM-Crypt on Linux to provide operating system-based encryption solutions that are integrated with Azure Key Vault.

Nächste SchritteNext steps