Heute kündigen wir die allgemeine Verfügbarkeit der serverseitigen Verschlüsselung (Server Side Encryption, SSE) mit kundenseitig verwalteten Schlüsseln (Customer Managed Keys, CMK) für Azure Managed Disks an. Viele Azure-Kunden profitieren bereits vom standardmäßig aktivierten Feature für serverseitige Verschlüsselung mit plattformseitig verwalteten Schlüsseln für Managed Disks. SSE mit CMK verbessert die plattformseitig verwalteten Schlüssel, indem Sie Kontrolle über die Verschlüsselungsschlüssel erhalten und somit die Einhaltung Ihrer Complianceanforderungen gewährleisten können.

Heute können Kunden auch den Dienst Azure Disk Encryption nutzen, der das BitLocker-Feature von Windows und das dm-crypt-Feature von Linux zum Verschlüsseln von verwalteten Datenträgern mit kundenseitig verwalteten Schlüsseln innerhalb der Gast-VM verwendet. SSE mit CMK verbessert Azure Disk Encryption, da Sie beliebige Betriebssystemtypen und Images einschließlich benutzerdefinierter Images für Ihre VMs verwenden können, indem Daten im Azure Storage-Dienst verschlüsselt werden.

SSE mit CMK ist in Azure Key Vault integriert. Dieser Dienst bietet einen hochverfügbaren und skalierbaren sicheren Speicher für Ihre Schlüssel, der durch Hardwaresicherheitsmodule geschützt wird. Sie können entweder BYOK-Features (Bring Your Own Key) für Azure Key Vault nutzen oder im Schlüsseltresor neue Schlüssel generieren.

Informationen zur Schlüsselverwaltung

Verwaltete Datenträger werden transparent mit der AES-256-Bit-Verschlüsselung (Advanced Encryption Standard) verschlüsselt und entschlüsselt. Dies ist eine der stärksten verfügbaren Blockchiffren. Der Speicherdienst verarbeitet die Verschlüsselung und Entschlüsselung mithilfe der Umschlagverschlüsselung vollständig transparent. Er verschlüsselt Daten mithilfe der AES-basierten 256-Bit-Datenverschlüsselungsschlüssel, die wiederum mithilfe Ihrer in Key Vault gespeicherten Schlüssel geschützt werden.

Der Speicherdienst generiert Datenverschlüsselungsschlüssel und verschlüsselt diese mit CMK mithilfe der RSA-Verschlüsselung. Die Umschlagverschlüsselung ermöglicht Ihnen das regelmäßige Rotieren (Ändern) Ihrer Schlüssel gemäß Ihren Compliancerichtlinien, ohne dass sich dies auf Ihre VMs auswirkt. Wenn Sie Ihre Schlüssel rotieren, verschlüsselt der Speicherdienst die Datenverschlüsselungsschlüssel noch mal mit dem neuen CMK.

Vollständige Kontrolle über Ihre Schlüssel

Sie haben die vollständige Kontrolle über Ihre Schlüssel in Key Vault. Managed Disks verwendet systemseitig zugewiesene verwaltete Identitäten in Azure Active Directory (Azure AD) für den Zugriff auf Schlüssel in Key Vault. Ein Administrator mit den erforderlichen Berechtigungen in Key Vault muss zunächst den Zugriff auf Managed Disks in Key Vault gewähren, um die Schlüssel zum Verschlüsseln und Entschlüsseln des Datenverschlüsselungsschlüssels zu verwenden. Sie können verhindern, dass Managed Disks auf Ihre Schlüssel zugreift, indem Sie entweder Ihre Schlüssel deaktivieren oder die Zugriffssteuerung für Ihre Schlüssel aufheben. Das bewirkt, dass die VMs bei Datenträgern fehlschlagen, die an ausgeführte VMs angefügt sind. Sie können auch die Schlüsselverwendung mithilfe der Key Vault-Überwachung nachverfolgen, um sicherzustellen, dass nur Managed Disks oder andere vertrauenswürdige Azure-Dienste auf Ihre Dienste zugreifen.

Verfügbarkeit von SSE mit CMK

SSE mit CMK ist für verwaltete Datenträger mit den Tarifen HDD Standard, SSD Standard und SSD Premium verfügbar, die an virtuelle Azure-Computer und VM-Skalierungsgruppen angefügt werden können. Die Unterstützung von Disk Storage Ultra wird separat angekündigt. SSE mit CMK ist nun in allen öffentlichen und Azure Government-Regionen aktiviert und wird in den Regionen in Deutschland (Sovereign Cloud) und China in wenigen Wochen verfügbar sein.

Sie können Azure Backup verwenden, um Ihre VMs mithilfe von verwalteten Datenträgern zu sichern, die mit SSE mit CMK verschlüsselt sind. Außerdem können Sie die Sicherungsdaten in Ihren Recovery Services-Tresoren mit den in Key Vault gespeicherten Schlüsseln verschlüsseln, anstatt die standardmäßig verfügbaren, plattformseitig verwalteten Schlüssel zu verwenden. Weitere Informationen zur Verschlüsselung von Sicherungsdaten mit von Kunden verwalteten Schlüsseln finden Sie in der Dokumentation.

Sie können Azure Site Recovery verwenden, um Ihre virtuellen Azure-Computer, die verwaltete Datenträger mit SSE mit CMK verschlüsselt haben, für die Notfallwiederherstellung in andere Azure-Regionen zu replizieren. Sie können Ihre lokalen virtuellen Computer auch auf verwaltete Datenträger replizieren, die mit SSE mit CMK in Azure verschlüsselt sind. Informieren Sie sich über das Replizieren von virtuellen Computern mit verwalteten Datenträgern, die mit SSE mit CMK verschlüsselt sind.

Erste Schritte

Sie müssen zunächst eine Instanz eines neuen Ressourcentyps namens „DiskEncryptionSet“ erstellen und der Instanz dann Zugriff auf den Schlüsseltresor gewähren, um die Verschlüsselung mit CMK für verwaltete Datenträger zu aktivieren. „DiskEncryptionSet“ stellt einen Schlüssel in Key Vault dar und ermöglicht es Ihnen, denselben Schlüssel zum Verschlüsseln von vielen Datenträgern, Momentaufnahmen und Images mit demselben Schlüssel wiederzuverwenden.

Sehen wir uns ein Beispiel für das Erstellen einer Instanz von „DiskEncryptionSet“ an:

1. Erstellen Sie eine Instanz von „DiskEncryptionSet“, indem Sie einen Schlüssel in Key Vault angeben.

keyVaultId=$(az keyvault show --name yourKeyVaultName --query [id] -o tsv)

keyVaultKeyUrl=$(az keyvault key show --vault-name yourKeyVaultName --name yourKeyName --query [key.kid] -o tsv)

az disk-encryption-set create -n yourDiskEncryptionSetName -l WestCentralUS -g yourResourceGroupName --source-vault $keyVaultId --key-url $keyVaultKeyUrl

2. Gewähren Sie der Instanz Zugriff auf Key Vault. Beim Erstellen der Instanz hat das System automatisch eine systemseitig zugewiesene verwaltete Identität in Azure AD erstellt und die Identität der Instanz zugeordnet. Die Identität muss Zugriff auf Key Vault haben, um erforderliche Vorgänge wie „wrapkey“, „unwrapkey“ und „get“ auszuführen.

desIdentity=$(az disk-encryption-set show -n yourDiskEncryptionSetName -g yourResourceGroupName --query [identity.principalId] -o tsv)

az keyvault set-policy -n yourKeyVaultName -g yourResourceGroupName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

az role assignment create --assignee $desIdentity --role Reader --scope $keyVaultId

Sie können nun die Verschlüsselung für Datenträger, Momentaufnahmen und Images aktivieren, indem Sie sie der Instanz von „DiskEncryptionSet“ zuordnen. Es gibt keine Einschränkung hinsichtlich der Anzahl von Ressourcen, die mit derselben DiskEncryptionSet-Instanz verknüpft werden können.

Sehen wir uns ein Beispiel für das Aktivieren für einen vorhandenen Datenträger an:

1. Sie müssen einen virtuellen Computer beenden (Zuordnung aufheben), um die Verschlüsselung für einen an eine VM angefügten Datenträger zu aktivieren.

az vm stop --resource-group MyResourceGroup --name MyVm

2. Aktivieren Sie die Verschlüsselung für einen angefügten Datenträger, indem Sie ihn der DiskEncryptionSet-Instanz zuordnen.

diskEncryptionSetId=$(az disk-encryption-set show -n yourDiskEncryptionSetName -g yourResourceGroupName --query [id] -o tsv)

az disk update -n yourDiskEncryptionSetName -g yourResourceGroupName --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set $diskEncryptionSetId

3. Starten Sie den virtuellen Computer.

az vm start -g MyResourceGroup -n MyVm

Ausführliche Anweisungen zum Aktivieren der serverseitigen Verschlüsselung mit CMK für verwaltete Datenträger finden Sie in der Dokumentation zu Azure Managed Disks.

Senden von Feedback

Wir freuen uns auf Ihr Feedback zur SSE mit CMK. Sie können uns E-Mails senden.