Wir freuen uns, die allgemeine Verfügbarkeit der Azure-Speicherdienstverschlüsselung mit vom Kunden verwalteten Schlüsseln bekannt zu geben, die in Azure Key Vault für den Azure Blob Storage und Azure File Storage integriert sind. Azure-Kunden profitieren bereits von der Speicherdienstverschlüsselung für den Azure Blob Storage und Azure File Storage mit verwalteten Microsoft-Schlüsseln.

Die Speicherdienstverschlüsselung mit vom Kunden verwalteten Schlüsseln verwendet den Azure Key Vault-Dienst, der hochverfügbaren und skalierbaren sicheren Speicher für RSA-Kryptografieschlüssel bietet, der von FIPS 140-2 Level 2-geprüften Hardwaresicherheitsmodulen (HSMs) gesichert wird. Key Vault optimiert den Schlüsselverwaltungsprozess und ermöglicht es Kunden, die volle Kontrolle über die Schlüssel zu behalten, die zur Datenverschlüsselung sowie zur Verwaltung und Überprüfung ihrer Schlüsselverwendung verwendet werden.

Dies ist eine der am häufigsten nachgefragten Features für Unternehmenskunden, die sensible Daten im Rahmen ihrer gesetzlichen oder Complianceanforderungen und im Hinblick auf HIPAA- und BAA-Konformität schützen möchten.

Kunden können ihren RSA-Schlüssel in Azure Key Vault generieren bzw. importieren und ihn mit der Speicherdienstverschlüsselung verwenden. Azure Storage wickelt die Ver- und Entschlüsselung vollständig transparent mithilfe der Verschlüsselung per Umschlag ab, bei der die Daten mit einem AES 256-basierten Schlüssel verschlüsselt werden, der wiederum mit dem in Azure Key Vault gespeicherten vom Kunden verwalteten Schlüssel geschützt ist.

Kunden können ihren Schlüssel in Azure Key Vault gemäß ihren Compliancerichtlinien rotieren. Bei einer Schlüsselrotation verschlüsselt Azure Storage erneut den Kontoverschlüsselungsschlüssel für dieses Speicherkonto. Dies führt nicht zu einer erneuten Verschlüsselung aller Daten und es sind keine weiteren Maßnahmen seitens des Benutzers erforderlich.

Kunden können den Zugriff auf das Speicherkonto auch widerrufen, indem sie den Zugriff auf ihren Schlüssel in Azure Key Vault widerrufen. Dazu stehen Ihnen mehrere Möglichkeiten zur Verfügung. Weitere Informationen finden Sie unter Azure Key Vault PowerShell und Azure Key Vault-CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Blobs im Speicherkonto blockiert, da Azure Storage keinen Zugriff mehr auf den Kontoverschlüsselungsschlüssel hat.

Kunden müssen „Nicht löschen“ und „Vorläufig löschen“ für vom Kunden verwaltete Schlüssel aktivieren, wodurch sie in Ransomwareszenarien geschützt werden.

Kunden können dieses Feature für alle verfügbaren Redundanzarten vom Azure Blob Storage und von Azure File Storage aktivieren, einschließlich Storage Premium, und von der Verwendung verwalteter Microsoft-Schlüssel zu vom Kunden verwalteten Schlüsseln wechseln. Für die Aktivierung dieses Features fallen keine zusätzlichen Gebühren an.

Sie können die Speicherdienstverschlüsselung mit vom Kunden verwalteten Schlüsseln in jedem Azure Resource Manager-Speicherkonto über das Azure-Portal, Azure PowerShell, die Azure CLI oder die Microsoft Azure Storage-Ressourcenanbieter-API aktivieren.

Erfahren Sie mehr über die Speicherdienstverschlüsselung mit vom Kunden verwalteten Schlüsseln.