Aktivieren der Mehrfachverschlüsselung auf Infrastrukturebene bei Azure Storage
Alle Daten werden in Azure Storage automatisch in einem Speicherkonto auf dem Servicelevel mit der 256-Bit-AES-Verschlüsselung verschlüsselt, einer der stärksten verfügbaren Blockchiffren, und konform mit dem FIPS 140-2-Standard. Kunden, welche besonders stark auf Datensicherheit achten müssen, können auch 256-Bit-AES-Verschlüsselung auf Azure Storage-Infrastrukturebene für Mehrfachverschlüsselung aktivieren. Die doppelte Verschlüsselung von Azure Storage-Daten schützt vor dem Szenario, dass einer der Verschlüsselungsalgorithmen oder Schlüssel kompromittiert wurde. In diesem Szenario werden die Daten weiterhin durch die zusätzliche Verschlüsselungsebene geschützt.
Die Infrastrukturverschlüsselung kann für das gesamte Speicherkonto oder für einen Verschlüsselungsbereich innerhalb eines Kontos aktiviert werden. Wenn die Infrastrukturverschlüsselung in einem Speicherkonto oder Verschlüsselungsbereich aktiviert ist, werden Daten zweifach verschlüsselt: auf Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln.
Die Verschlüsselung auf dem Servicelevel unterstützt die Verwendung von Schlüsseln, die von Microsoft oder vom Kunden verwaltet werden, mit Azure Key Vault oder Azure Key Vault Managed HSM (Hardware Security Module). Die Verschlüsselung auf Infrastrukturebene basiert auf von Microsoft verwalteten Schlüsseln und verwendet immer einen separaten Schlüssel.
Für die Mehrfachverschlüsselung Ihrer Daten müssen Sie zunächst ein Speicherkonto oder einen Verschlüsselungsbereich erstellen, welcher für Infrastrukturverschlüsselung konfiguriert ist.
Die Infrastrukturverschlüsselung wird für Szenarien empfohlen, in denen die doppelte Verschlüsselung von Daten gemäß den Complianceanforderungen erforderlich ist. Für die meisten anderen Szenarien bietet Azure Storage-Verschlüsselung einen ausreichend leistungsfähigen Verschlüsselungsalgorithmus und es ist unwahrscheinlich, dass die Verwendung der Infrastrukturverschlüsselung einen Vorteil bietet.
Erstellen eines Kontos mit aktivierter Infrastrukturverschlüsselung
Um die Infrastrukturverschlüsselung für ein Speicherkonto zu aktivieren, müssen Sie ein Speicherkonto für die Verwendung der Infrastrukturverschlüsselung zum Zeitpunkt der Kontoerstellung konfigurieren. Die Infrastrukturverschlüsselung kann nach der Erstellung des Kontos nicht aktiviert oder deaktiviert werden. Das Speicherkonto muss vom Typ „Allgemein v2“ oder „Premium-Blockblob“ sein.
Führen Sie die folgenden Schritte aus, um über das Azure-Portal ein Speicherkonto mit aktivierter Infrastrukturverschlüsselung zu erstellen:
Navigieren Sie im Azure-Portal zur Seite Speicherkonten.
Wählen Sie die Schaltfläche Hinzufügen aus, um ein neues Speicherkonto vom Typ „Allgemein v2“ oder „Premium-Blockblob“ hinzuzufügen.
Suchen Sie auf der Registerkarte Verschlüsselung nach Infrastrukturverschlüsselung aktivieren, und klicken Sie auf Aktiviert.
Wählen Sie Überprüfen + erstellen aus, um das Erstellen des Speicherkontos abzuschließen.
Führen Sie die folgenden Schritte im Azure-Portal aus, um zu überprüfen, ob die Infrastrukturverschlüsselung für ein Speicherkonto aktiviert ist:
Navigieren Sie zum Speicherkonto im Azure-Portal.
Wählen Sie unter Einstellungen die Option Verschlüsselung aus.
Azure Policy stellt eine integrierte Richtlinie zur Verfügung, mit der die Aktivierung der Infrastrukturverschlüsselung für ein Speicherkonto erforderlich ist.
Erstellen eines Verschlüsselungsbereichs mit aktivierter Infrastrukturverschlüsselung
Wenn Infrastrukturverschlüsselung für ein Konto aktiviert ist, verwendet jeder für dieses Konto erstellte Verschlüsselungsbereich automatisch Infrastrukturverschlüsselung. Wenn die Infrastrukturverschlüsselung auf Kontoebene nicht aktiviert ist, haben Sie die Möglichkeit, sie zum Erstellungszeitpunkt des entsprechenden Verschlüsselungsbereichs zu aktivieren. Die Einstellung für die Infrastrukturverschlüsselung für einen Verschlüsselungsbereich kann nach dem Erstellen des Bereichs nicht mehr geändert werden.