Aktivieren von Infrastruktur-Verschlüsselung für Mehrfachverschlüsselung von Daten

Alle Daten werden in Azure Storage automatisch in einem Speicherkonto auf Dienstebene mit der 256-Bit-AES-Verschlüsselung im GCM-Modus verschlüsselt, einer der stärksten verfügbaren Blockchiffren, die mit dem FIPS 140-2-Standard konform ist. Kund*innen, die besonders stark auf Datensicherheit achten müssen, können auch 256-Bit-AES-Verschlüsselung mit CBC auf Azure Storage-Infrastrukturebene für Mehrfachverschlüsselung aktivieren. Die doppelte Verschlüsselung von Azure Storage-Daten schützt vor dem Szenario, dass einer der Verschlüsselungsalgorithmen oder Schlüssel möglicherweise kompromittiert wurde. In diesem Szenario werden die Daten weiterhin durch die zusätzliche Verschlüsselungsebene geschützt.

Die Infrastrukturverschlüsselung kann für das gesamte Speicherkonto oder für einen Verschlüsselungsbereich innerhalb eines Kontos aktiviert werden. Wenn die Infrastrukturverschlüsselung in einem Speicherkonto oder Verschlüsselungsbereich aktiviert ist, werden Daten zweifach verschlüsselt: auf Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln.

Die Verschlüsselung auf dem Servicelevel unterstützt die Verwendung von Schlüsseln, die von Microsoft oder vom Kunden verwaltet werden, mit Azure Key Vault oder Azure Key Vault Managed HSM (Hardware Security Module). Die Verschlüsselung auf Infrastrukturebene basiert auf von Microsoft verwalteten Schlüsseln und verwendet immer einen separaten Schlüssel. Weitere Informationen zur Schlüsselverwaltung mit Azure Storage-Verschlüsselung finden Sie unter Informationen zur Verwaltung von Verschlüsselungsschlüsseln.

Für die Mehrfachverschlüsselung Ihrer Daten müssen Sie zunächst ein Speicherkonto oder einen Verschlüsselungsbereich erstellen, welcher für Infrastrukturverschlüsselung konfiguriert ist. Dieser Artikel beschreibt, wie Sie Infrastrukturverschlüsselung aktivieren.

Wichtig

Die Infrastrukturverschlüsselung wird für Szenarien empfohlen, in denen die doppelte Verschlüsselung von Daten gemäß den Complianceanforderungen erforderlich ist. In den meisten anderen Szenarien bietet die Azure Storage-Verschlüsselung einen ausreichend leistungsstarken Verschlüsselungsalgorithmus, und ein Vorteil durch die Verwendung der Infrastrukturverschlüsselung ist unwahrscheinlich.

Erstellen eines Kontos mit aktivierter Infrastrukturverschlüsselung

Um die Infrastrukturverschlüsselung für ein Speicherkonto zu aktivieren, müssen Sie ein Speicherkonto für die Verwendung der Infrastrukturverschlüsselung zum Zeitpunkt der Kontoerstellung konfigurieren. Die Infrastrukturverschlüsselung kann nicht aktiviert oder deaktiviert werden, nachdem das Konto erstellt wurde. Das Speicherkonto muss vom Typ „Allgemeine v2“, „Premium-Block-BLOB“, „Premium-Seiten-Blob“ oder „Premium-Dateifreigaben“ sein.

Azure portal

Führen Sie die folgenden Schritte aus, um über das Azure-Portal ein Speicherkonto mit aktivierter Infrastrukturverschlüsselung zu erstellen:

1. Navigieren Sie im Azure-Portal zur Seite Speicherkonten.

2. Wählen Sie die Schaltfläche Hinzufügen aus, um ein neues allgemeines v2-, Premium-Block-Blob-, Premium-Seiten-Blob- oder Premium-Dateifreigabekonto hinzuzufügen.

3. Suchen Sie auf der Registerkarte Verschlüsselung nach Infrastrukturverschlüsselung aktivieren, und klicken Sie auf Aktiviert.

4. Wählen Sie Überprüfen + erstellen aus, um das Erstellen des Speicherkontos abzuschließen.

   

Führen Sie die folgenden Schritte im Azure-Portal aus, um zu überprüfen, ob die Infrastrukturverschlüsselung für ein Speicherkonto aktiviert ist:

1. Navigieren Sie zum Speicherkonto im Azure-Portal.

2. Wählen Sie unter Sicherheit und Netzwerk die Option Verschlüsselung aus.

   

PowerShell

Wenn Sie über PowerShell ein Speicherkonto mit aktivierter Infrastrukturverschlüsselung erstellen möchten, muss das Az.Storage-PowerShell-Modul Version 2.2.0 oder höher installiert sein. Weitere Informationen finden Sie unter Installieren von Azure PowerShell.

Erstellen Sie als Nächstes ein Allgemeines v2-, Premium-Block-Blob-, Premium-Seiten-Blob- oder Premium-Dateifreigabespeicherkonto, indem Sie den Befehl New-AzStorageAccount aufrufen. Beziehen Sie die -RequireInfrastructureEncryption-Option zum Aktivieren der Infrastrukturverschlüsselung ein.

Das folgende Beispiel zeigt, wie Sie ein Speicherkonto vom Typ „Universell v2“ erstellen, das für georedundanten Speicher mit Lesezugriff (Read-Access Geo-Redundant Storage, RA-GRS) konfiguriert ist und für das die Infrastrukturverschlüsselung zum doppelten Verschlüsseln von Daten aktiviert ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen:

New-AzStorageAccount -ResourceGroupName <resource_group> `
    -AccountName <storage-account> `
    -Location <location> `
    -SkuName "Standard_RAGRS" `
    -Kind StorageV2 `
    -AllowBlobPublicAccess $false `
    -RequireInfrastructureEncryption

Um zu überprüfen, ob die Infrastrukturverschlüsselung für ein Speicherkonto aktiviert ist, können Sie den Befehl Get-AzStorageAccount abrufen. Dieser Befehl gibt einen Satz von Speicherkontoeigenschaften und deren Werte zurück. Rufen Sie das Feld RequireInfrastructureEncryption innerhalb der Eigenschaft Encryption ab, und überprüfen Sie, ob es auf True festgelegt ist.

Im folgenden Beispiel wird der Wert der RequireInfrastructureEncryption-Eigenschaft abgerufen. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:

$account = Get-AzStorageAccount -ResourceGroupName <resource-group> `
    -StorageAccountName <storage-account>
$account.Encryption.RequireInfrastructureEncryption

Azure-Befehlszeilenschnittstelle

Wenn Sie mithilfe der Azure-Befehlszeilenschnittstelle (Azure CLI) ein Speicherkonto erstellen möchten, für das die Infrastrukturverschlüsselung aktiviert ist, müssen Sie Azure CLI, Version 2.8.0 oder höher, installiert haben. Weitere Informationen finden Sie unter Installieren der Azure-Befehlszeilenschnittstelle.

Erstellen Sie als Nächstes ein Allgemeines v2-, Premium-Block-Blob-, Premium-Seiten-Blob- oder Premium-Dateifreigabekonto, indem Sie den Befehl az-Speicherkonto erstellen aufrufen und --require-infrastructure-encryption option einschließen, um die Infrastrukturverschlüsselung zu aktivieren.

Das folgende Beispiel zeigt, wie Sie ein Speicherkonto vom Typ „Universell v2“ erstellen, das für georedundanten Speicher mit Lesezugriff (Read-Access Geo-Redundant Storage, RA-GRS) konfiguriert ist und für das die Infrastrukturverschlüsselung zum doppelten Verschlüsseln von Daten aktiviert ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_RAGRS \
    --kind StorageV2 \
    --allow-blob-public-access false \
    --require-infrastructure-encryption

Um zu überprüfen, ob die Infrastrukturverschlüsselung für ein Speicherkonto aktiviert ist, rufen Sie den Befehl az storage account show auf. Dieser Befehl gibt einen Satz von Speicherkontoeigenschaften und deren Werte zurück. Überprüfen Sie, ob das Feld requireInfrastructureEncryption innerhalb der Eigenschaft encryption auf true festgelegt ist.

Im folgenden Beispiel wird der Wert der requireInfrastructureEncryption-Eigenschaft abgerufen. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:

az storage account show /
    --name <storage-account> /
    --resource-group <resource-group>

Vorlage

Im folgenden JSON-Beispiel wird ein Speicherkonto vom Typ „Universell v2“ erstellt, das für georedundanten Speicher mit Lesezugriff (Read-Access Geo-Redundant Storage, RA-GRS) konfiguriert ist und für das die Infrastrukturverschlüsselung zum doppelten Verschlüsseln von Daten aktiviert ist. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen:

"resources": [
    {
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "name": "[parameters('<storage-account>')]",
        "location": "[parameters('<location>')]",
        "dependsOn": [],
        "tags": {},
        "sku": {
            "name": "[parameters('Standard_RAGRS')]"
        },
        "kind": "[parameters('StorageV2')]",
        "properties": {
            "accessTier": "[parameters('<accessTier>')]",
            "supportsHttpsTrafficOnly": "[parameters('supportsHttpsTrafficOnly')]",
            "largeFileSharesState": "[parameters('<largeFileSharesState>')]",
            "encryption": {
                "keySource": "Microsoft.Storage",
                "requireInfrastructureEncryption": true,
                "services": {
                    "blob": { "enabled": true },
                    "file": { "enabled": true }
              }
            }
        }
    }
],

Azure Policy stellt eine integrierte Richtlinie zur Verfügung, mit der die Aktivierung der Infrastrukturverschlüsselung für ein Speicherkonto erforderlich ist. Weitere Informationen finden Sie in Integrierte Azure Policy-Richtliniendefinitionen im Abschnitt Speicher.

Erstellen eines Verschlüsselungsbereichs mit aktivierter Infrastrukturverschlüsselung

Wenn die Infrastrukturverschlüsselung für ein Konto aktiviert ist, verwendet jeder für dieses Konto erstellte Verschlüsselungsbereich automatisch die Infrastrukturverschlüsselung. Wenn die Infrastrukturverschlüsselung auf Kontoebene nicht aktiviert ist, haben Sie die Möglichkeit, sie zum Erstellungszeitpunkt des entsprechenden Verschlüsselungsbereichs zu aktivieren. Die Infrastrukturverschlüsselungseinstellung für einen Verschlüsselungsbereich kann nach dem Erstellen des Bereichs nicht mehr geändert werden. Weitere Informationen finden Sie unter Erstellen eines Verschlüsselungsbereichs.

Nächste Schritte

• Azure Storage encryption for data at rest (Azure Storage-Verschlüsselung für ruhende Daten)
• Kundenseitig verwaltete Schlüssel für die Azure Storage-Verschlüsselung
• Verschlüsselungsbereiche für Blobspeicher