Serverseitige Verschlüsselung von Azure Disk Storage

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Die meisten von Azure verwalteten Datenträger werden mit der Azure Storage-Verschlüsselung verschlüsselt, die die serverseitige Verschlüsselung verwendet, um Ihre Daten zu schützen und Ihnen dabei zu helfen, die Sicherheits- und Complianceanforderungen Ihrer Organisation zu erfüllen. Die Azure Storage-Verschlüsselung verschlüsselt Ihre auf verwalteten Azure-Datenträgern (Betriebssystemdatenträger und reguläre Datenträger) gespeicherten ruhenden Daten standardmäßig, wenn sie in der Cloud gespeichert werden. Datenträger mit aktivierter Verschlüsselung auf dem Host werden jedoch nicht über Azure Storage verschlüsselt. Für Datenträger mit aktivierter Verschlüsselung auf dem Host stellt der Server, der Ihre VM hostet, die Verschlüsselung für Ihre Daten bereit, und die verschlüsselten Daten werden an Azure Storage übermittelt.

Daten in verwalteten Azure-Datenträgern werden transparent mit 256-Bit-AES-Verschlüsselung – einer der stärksten verfügbaren Blockverschlüsselungen – FIPS 140-2-konform ver- und entschlüsselt. Weitere Informationen zu den kryptografischen Modulen, die verwalteten Azure-Datenträgern zugrunde liegen, finden Sie unter Kryptografie-API: Die nächste Generation.

Die Azure Storage-Verschlüsselung wirkt sich nicht auf die Leistung verwalteter Datenträger aus, und es fallen keine zusätzlichen Kosten an. Weitere Informationen über die Azure Storage-Verschlüsselung finden Sie unter Azure Storage-Verschlüsselung.

Hinweis

Temporäre Datenträger sind keine verwalteten Datenträger und werden nicht von SSE verschlüsselt, es sei denn, Sie aktivieren die Verschlüsselung auf dem Host.

Informationen zur Verwaltung von Verschlüsselungsschlüsseln

Sie können von der Plattform verwaltete Schlüssel für die Verschlüsselung der verwalteten Datenträger verwenden oder die Verschlüsselung mit eigenen Schlüsseln verwalten. Wenn Sie die Verschlüsselung mit eigenen Schlüsseln verwalten möchten, können Sie einen vom Kunden verwalteten Schlüssel angeben, der zum Verschlüsseln und Entschlüsseln aller Daten in verwalteten Datenträgern verwendet werden soll.

In den folgenden Abschnitten werden die einzelnen Optionen für die Schlüsselverwaltung ausführlicher beschrieben.

Von der Plattform verwaltete Schlüssel

Verwaltete Datenträger verwenden standardmäßig von der Plattform verwaltete Verschlüsselungsschlüssel. Alle verwalteten Datenträger, Momentaufnahmen, Images und Daten, die auf vorhandene verwaltete Datenträger geschrieben wurden, werden im Ruhezustand automatisch mit von der Plattform verwalteten Schlüsseln verschlüsselt.

Vom Kunden verwaltete Schlüssel

Sie können die Verschlüsselung auf der Ebene verwalteter Datenträger mit eigenen Schlüsseln verwalten. Die serverseitige Verschlüsselung für verwaltete Datenträger mit vom Kunden verwalteten Schlüsseln bietet eine integrierte Benutzerfunktionalität mit Azure Key Vault. Sie können entweder ihre RSA-Schlüssel in den Schlüsseltresor importieren oder neue RSA-Schlüssel in Azure Key Vault generieren.

Die Verschlüsselung und Entschlüsselung von verwalteten Azure-Datenträgern erfolgt durch Umschlagverschlüsselung vollständig transparent. Daten werden mithilfe eines AES-256 basierten Datenverschlüsselungsschlüssels (DEK) verschlüsselt, der wiederum mit Ihren Schlüsseln geschützt wird. Der Speicherdienst generiert Datenverschlüsselungsschlüssel und verschlüsselt sie mit vom Kunden verwalteten Schlüsseln unter Verwendung der RSA-Verschlüsselung. Mithilfe der Umschlagverschlüsselung können Sie Ihre Schlüssel gemäß Ihren Kompatibilitätsrichtlinien regelmäßig rotieren (ändern), ohne Ihre VMs zu beeinträchtigen. Wenn Sie Ihre Schlüssel rotieren, verschlüsselt der Speicherdienst die Datenverschlüsselungsschlüssel mit den neuen, vom Kunden verwalteten Schlüsseln neu.

Vollständige Kontrolle über Ihre Schlüssel

Sie müssen den Zugriff auf verwaltete Datenträger in Ihrer Key Vault-Instanz gewähren, damit Sie Ihre Schlüssel zum Verschlüsseln und Entschlüsseln des DEK verwenden können. Dies ermöglicht eine umfassende Kontrolle über Ihre Daten und Schlüssel. Sie können Ihre Schlüssel jederzeit deaktivieren oder den Zugriff auf verwaltete Datenträger widerrufen. Sie können auch die Verwendung von Verschlüsselungsschlüsseln mithilfe der Azure Key Vault-Überwachung überwachen, um sicherzustellen, dass nur verwaltete Datenträger oder andere vertrauenswürdige Azure-Dienste auf Ihre Schlüssel zugreifen.

Wenn Sie Ihren Schlüssel deaktivieren oder löschen, werden alle virtuellen Computer mit Datenträgern, die diesen Schlüssel verwenden, automatisch heruntergefahren. Danach können die virtuellen Computer nur verwendet werden, wenn der Schlüssel erneut aktiviert wird oder wenn Sie einen neuen Schlüssel zuweisen.

Das folgende Diagramm zeigt, wie verwaltete Datenträger Azure Active Directory und Azure Key Vault verwenden, um Anforderungen mit dem vom Kunden verwalteten Schlüssel zu senden:

Workflow für verwaltete Datenträger und kundenseitig verwaltete Schlüssel. Ein Administrator erstellt eine Azure Key Vault-Instanz, dann einen Datenträgerverschlüsselungssatz und richtet den Datenträgerverschlüsselungssatz ein. Der Satz wird einer VM zugeordnet, sodass der Datenträger Azure AD zur Authentifizierung verwenden kann.

In der folgenden Liste wird das Diagramm ausführlicher erläutert:

  1. Ein Azure Key Vault-Administrator erstellt Schlüsseltresorressourcen.
  2. Der Schlüsseltresoradministrator importiert die jeweiligen RSA-Schlüssel in Key Vault oder generiert neue RSA-Schlüssel in Key Vault.
  3. Dieser Administrator erstellt eine Instanz der Datenträgerverschlüsselungssatz-Ressource und gibt eine Azure Key Vault-ID sowie eine Schlüssel-URL an. Der Datenträgerverschlüsselungssatz ist eine neue Ressource, die zur Vereinfachung der Schlüsselverwaltung für verwaltete Datenträger eingeführt wurde.
  4. Beim Erstellen eines Datenträgerverschlüsselungssatzes wird eine vom System zugewiesene verwaltete Identität in Azure Active Directory (AD) erstellt und mit dem Datenträgerverschlüsselungssatz verknüpft.
  5. Der Azure Key Vault-Administrator erteilt dann der verwalteten Identität Berechtigungen zum Durchführen von Vorgängen im Schlüsseltresor.
  6. Ein VM-Benutzer erstellt Datenträger, indem er sie dem Datenträgerverschlüsselungssatz zuordnet. Der VM-Benutzer kann auch die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln für vorhandene Ressourcen aktivieren, indem er diese dem Datenträgerverschlüsselungssatz zuordnet.
  7. Verwaltete Datenträger verwenden die verwaltete Identität, um Anforderungen an den Azure Key Vault zu senden.
  8. Zum Lesen oder Schreiben von Daten senden verwaltete Datenträger Anforderungen an Azure Key Vault, um den Datenverschlüsselungsschlüssel zu verschlüsseln (wrap) und zu entschlüsseln (unwrap), um die Daten zu verschlüsseln und zu entschlüsseln.

Informationen zum Widerrufen von Kunden verwalteter Schlüsseln finden Sie in den Artikeln zu Azure Key Vault-PowerShell und zur Azure Key Vault-CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten im Speicherkonto blockiert, da Azure Storage keinen Zugriff mehr auf den Verschlüsselungsschlüssel hat.

Automatische Rotation von kundenseitig verwalteten Schlüsseln

Sie können die automatische Schlüsselrotation für die neueste Schlüsselversion aktivieren. Ein Datenträger verweist über den Datenträgerverschlüsselungssatz auf einen Schlüssel. Wenn Sie die automatische Rotation für einen Datenträgerverschlüsselungssatz aktivieren, aktualisiert das System automatisch alle verwalteten Datenträger, Momentaufnahmen und Images, die auf den Datenträgerverschlüsselungssatz verweisen, um die neue Version des Schlüssels innerhalb von einer Stunde zu verwenden. Lesen Sie Einrichten von Azure Key Vault und DiskEncryptionSet mit automatischer Schlüsselrotation, um zu erfahren, wie Sie kundenseitig verwaltete Schlüssel mit automatischer Schlüsselrotation aktivieren.

Beschränkungen

Vorerst gelten für vom Kunden verwaltete Schlüssel die folgenden Einschränkungen:

  • Wenn dieses Feature für Ihren Datenträger aktiviert ist, können Sie es nicht deaktivieren. Wenn Sie dies umgehen müssen, müssen Sie alle Daten entweder mithilfe des Azure PowerShell-Moduls oder mit der Azure CLI auf einen anderen verwalteten Datenträger kopieren, der keine kundenseitig verwaltete Schlüssel verwendet.
  • Es werden ausschließlich Software- und HSM RSA-Schlüssel der Größen 2.048 Bit, 3.072 Bit und 4.096 Bit unterstützt.
    • Für HSM-Schlüssel ist der Premium-Tarif von Azure Key Vault erforderlich.
  • Datenträger, die aus benutzerdefinierten Images erstellt werden, die mit serverseitiger Verschlüsselung und vom Kunden verwalteten Schlüsseln verschlüsselt wurden, müssen mit denselben vom Kunden verwalteten Schlüsseln verschlüsselt werden und sich im selben Abonnement befinden.
  • Momentaufnahmen, die von Datenträgern erstellt werden, die mit serverseitiger Verschlüsselung und vom Kunden verwalteten Schlüsseln verschlüsselt wurden, müssen mit denselben vom Kunden verwalteten Schlüsseln verschlüsselt werden.
  • Alle Ressourcen, die sich auf Ihre vom Kunden verwalteten Schlüssel (Azure Key Vaults, Datenträgerverschlüsselungssätze, VMs, Datenträger und Momentaufnahmen) beziehen, müssen sich im selben Abonnement und in derselben Region befinden.
  • Mit vom Kunden verwalteten Schlüsseln verschlüsselte Datenträger, Momentaufnahmen und Images können nicht in andere Ressourcengruppen und Abonnements verschoben werden.
  • Verwaltete Datenträger, die bisher oder aktuell mit Azure Disk Encryption verschlüsselt wurden, können nicht mit kundenseitig verwalteten Schlüsseln verschlüsselt werden.
  • Pro Region und Abonnement können nur bis zu 1.000 Datenträgerverschlüsselungssätze erstellt werden.
  • Informationen über die Verwendung von kundenseitig verwalteter Schlüssel mit Shared Image Gallerys finden Sie unter Vorschau: Verwenden von kundenseitig verwalteten Schlüsseln zum Verschlüsseln von Images.

Unterstützte Regionen

Von Kunden verwaltete Schlüssel sind in allen Regionen verfügbar, in denen verwaltete Datenträger verfügbar sind.

Wichtig

Von Kunden verwaltete Schlüssel basieren auf verwalteten Identitäten für Azure-Ressourcen, einem Feature von Azure Active Directory (Azure AD). Wenn Sie vom Kunden verwaltete Schlüssel konfigurieren, wird Ihren Ressourcen im Hintergrund automatisch eine verwaltete Identität zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder den verwalteten Datenträger in ein anderes Azure AD-Verzeichnis verschieben, wird die den verwalteten Datenträgern zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, sodass kundenseitig verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Azure AD-Verzeichnissen.

Informationen zum Aktivieren kundenseitig verwalteter Schlüssel für verwaltete Datenträger finden Sie in den Artikeln, in denen erläutert wird, wie Sie diese entweder mit dem Azure PowerShell-Modul, der Azure CLI oder dem Azure-Portal aktivieren.

Verschlüsselung auf dem Host: End-to-End-Verschlüsselung für Ihre VM-Daten

Wenn Sie die Verschlüsselung auf dem Host aktivieren, wird die Verschlüsselung auf dem VM-Host gestartet (also auf dem Azure-Server, dem Ihr virtueller Computer zugeordnet ist). Die Daten für Ihren temporären Datenträger sowie für den Cache von Betriebssystemdatenträgern und regulären Datenträgern werden auf diesem VM-Host gespeichert. Nach Aktivierung der Verschlüsselung auf dem Host werden alle diese Daten sowohl im Ruhezustand als auch bei der Übertragung an den Speicherdienst verschlüsselt, wo sie gespeichert werden. Mit der Verschlüsselung auf dem Host erreichen Sie also im Grunde eine End-to-End-Verschlüsselung Ihrer Daten. Bei der Verschlüsselung auf dem Host wird weder die CPU Ihres virtuellen Computers beansprucht noch die Leistung Ihres virtuellen Computers beeinträchtigt.

Temporäre Datenträger und kurzlebige Betriebssystemdatenträger werden im Ruhezustand mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn Sie die End-to-End-Verschlüsselung aktivieren. Der Cache von Betriebssystemdatenträgern und regulären Datenträgern wird im Ruhezustand entweder mit kundenseitig verwalteten Schlüsseln oder mit plattformseitig verwalteten Schlüsseln verschlüsselt. Dies hängt vom ausgewählten Datenträgerverschlüsselungstyp ab. Wenn ein Datenträger beispielsweise mit kundenseitig verwalteten Schlüsseln verschlüsselt ist, wird der Cache für den Datenträger ebenfalls mit kundenseitig verwalteten Schlüsseln verschlüsselt. Ist ein Datenträger dagegen mit plattformseitig verwalteten Schlüsseln verschlüsselt, wird auch der Cache für den Datenträger mit plattformseitig verwalteten Schlüsseln verschlüsselt.

Beschränkungen

  • Unterstützt keine Ultra Disks.
  • Kann nicht aktiviert werden, wenn Azure Disk Encryption (Verschlüsselung der Gast-VM mit BitLocker/DM-Crypt) in Ihren VMs oder VM-Skalierungsgruppen aktiviert ist.
  • Azure Disk Encryption kann nicht auf Datenträgern aktiviert werden, auf denen die Verschlüsselung auf dem Host aktiviert ist.
  • Die Verschlüsselung kann für vorhandene VM-Skalierungsgruppen aktiviert werden. Es werden jedoch nur neue VMs automatisch verschlüsselt, die nach dem Aktivieren der Verschlüsselung erstellt wurden.
  • Bei vorhandenen VMs muss deren Zuordnung aufgehoben und sie müssen erneut zugeordnet werden, damit sie verschlüsselt werden können.
  • Unterstützt kurzlebige Betriebssystemdatenträger, aber nur mit plattformseitig verwalteten Schlüsseln.

Unterstützte VM-Größen

Alle VM-Größen der neuesten Generation unterstützen die Verschlüsselung auf dem Host:

type Nicht unterstützt Unterstützt
Allgemeiner Zweck Dv3, Dv2, Av2 B, DSv2, Dsv3, DC, DCv2, Dav4, Dasv4, Ddv4, Ddsv4
Computeoptimiert Fsv2
Arbeitsspeicheroptimiert Ev3 Esv3, M, Mv2, Eav4, Easv4, Edv4, Edsv4
Speicheroptimiert Ls, Lsv2 (NVMe-Datenträger werden nicht verschlüsselt)
GPU NC, NV NCv2, NCv3, ND, NVv3, NVv4, NDv2 (Vorschau)
High Performance Computing H HB, HC, HBv2
Vorherige Generationen F, A, D, L, G DS, GS, Fs, NVv2

Sie können die VM-Größen auch programmgesteuert ermitteln. Informationen zum programmgesteuerten Abrufen finden Sie im Abschnitt zum Ermitteln der unterstützten VM-Größen im Artikel zum Azure PowerShell-Modul oder zur Azure CLI.

Informationen zum Aktivieren der End-to-End-Verschlüsselung mithilfe der Verschlüsselung auf dem Host finden Sie in den Artikeln, in denen erläutert wird, wie Sie diese entweder mit dem Azure PowerShell-Modul, der Azure CLI oder dem Azure-Portal aktivieren.

Doppelte Verschlüsselung im Ruhezustand

Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Diese neue Ebene kann auf Datenträger für persistente Betriebssysteme und für Daten, Momentaufnahmen und Images angewendet werden, um sie im Ruhezustand mit doppelter Verschlüsselung zu verschlüsseln.

Unterstützte Regionen

Die doppelte Verschlüsselung wird in allen Regionen unterstützt, in denen verwaltete Datenträger verfügbar sind.

Informationen zum Aktivieren der Mehrfachverschlüsselung im Ruhezustand für verwaltete Datenträger finden Sie in den Artikeln, in denen erläutert wird, wie Sie diese entweder mit dem Azure PowerShell-Modul, der Azure CLI oder dem Azure-Portal aktivieren.

Vergleich: Serverseitige Verschlüsselung und Azure-Datenträgerverschlüsselung

Azure Disk Encryption nutzt entweder das DM-Crypt-Feature von Linux oder das BitLocker-Feature von Windows, um verwaltete Datenträger mit kundenseitig verwalteten Schlüsseln innerhalb der Gast-VM zu verschlüsseln. Die serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln bewirkt eine ADE-Verbesserung, indem Sie beliebige Betriebssystemtypen und Images für Ihre VMs verwenden können, indem Daten im Speicherdienst verschlüsselt werden.

Wichtig

Von Kunden verwaltete Schlüssel basieren auf verwalteten Identitäten für Azure-Ressourcen, einem Feature von Azure Active Directory (Azure AD). Wenn Sie vom Kunden verwaltete Schlüssel konfigurieren, wird Ihren Ressourcen im Hintergrund automatisch eine verwaltete Identität zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder den verwalteten Datenträger von einem Azure AD-Verzeichnis in ein anderes Verzeichnis verschieben, wird die den verwalteten Datenträgern zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, sodass vom Kunden verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Azure AD-Verzeichnissen.

Nächste Schritte