Azure KI Content Safety – Verschlüsselung ruhender Daten

  • Artikel

Azure KI Content Safety verschlüsselt Ihre Daten beim dauerhaften Speichern in der Cloud automatisch. Die Verschlüsselung schützt Ihre Daten und unterstützt Sie beim Einhalten der Sicherheits- und Complianceanforderungen Ihrer Organisation. In diesem Artikel wird beschrieben, wie Azure KI Content Safety die Verschlüsselung ruhender Daten verarbeitet.

Informationen zur Azure KI Services-Verschlüsselung

Azure KI Content Safety ist Teil der Azure KI Services. Azure KI Services-Daten werden mittels mit FIPS 140-2 konformer 256-Bit-AES-Verschlüsselung ver- und entschlüsselt. Verschlüsselung und Entschlüsselung sind transparent, was bedeutet, dass die Verschlüsselung und der Zugriff für Sie verwaltet werden. Ihre Daten werden standardmäßig geschützt, und Sie müssen weder Code noch Anwendungen ändern, um die Verschlüsselung nutzen zu können.

Informationen zur Verwaltung von Verschlüsselungsschlüsseln

Standardmäßig verwendet Ihr Abonnement von Microsoft verwaltete Verschlüsselungsschlüssel. Optional können Sie Ihr Abonnement auch mit eigenen Schlüsseln verwalten, die kundenseitig verwaltete Schlüssel genannt werden. Kundenseitig verwaltete Schlüssel (CMK) bieten größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen.

Wichtig

Für Sperrlistennamen wird standardmäßig nur die MMK-Verschlüsselung (Microsoft Managed Keys, von Microsoft verwaltete Schlüssel) angewendet. Ob Sie CMK (Customer Managed Keys, kundenseitig verwaltete Schlüssel) verwenden oder nicht, ändert nichts an diesem Verhalten. Für alle anderen Daten wird abhängig von Ihrer Auswahl entweder MMK oder CMK verwendet.

Von Kunden verwaltete Schlüssel mit Azure Key Vault

Kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMK) werden auch als Bring Your Own Key (BYOK) bezeichnet und bieten eine größere Flexibilität beim Erstellen, Rotieren, Deaktivieren und Widerrufen von Zugriffssteuerungen. Außerdem können Sie die zum Schutz Ihrer Daten verwendeten Verschlüsselungsschlüssel überwachen.

Sie müssen Azure Key Vault zum Speichern Ihrer vom Kunden verwalteten Schlüssel verwenden. Sie können entweder Ihre eigenen Schlüssel erstellen und in einem Schlüsseltresor speichern oder mit den Azure Key Vault-APIs Schlüssel generieren. Die Azure AI Services-Ressource und der Schlüsseltresor müssen sich in der gleichen Region und im gleichen Microsoft Entra-Mandant befinden, können aber auch in verschiedenen Abonnements sein. Weitere Informationen zum Azure Key Vault finden Sie unter What is Azure Key Vault? (Was ist der Azure Key Vault?).

Zum Aktivieren kundenseitig verwalteter Schlüssel müssen Sie die Eigenschaften Vorläufiges Löschen und Nicht bereinigen für den Schlüsseltresor aktivieren.

Für die Azure KI Services-Verschlüsselung werden nur RSA-Schlüssel der Größe 2048 unterstützt. Weitere Informationen zu Schlüsseln finden Sie unter Key Vault-Schlüssel in Informationen zu Schlüsseln, Geheimnissen und Zertifikaten in Azure Key Vault.

Aktivieren von kundenseitig verwalteten Schlüsseln für Ihre Ressource

Um vom Kunden verwaltete Schlüssel im Azure-Portal zu aktivieren, gehen Sie folgendermaßen vor:

  1. Wechseln Sie zu Ihrer Azure KI Services-Ressource.
  2. Wählen Sie auf der linken Seite Verschlüsselung aus.
  3. Wählen Sie unter Verschlüsselungstyp die Option Kundenseitig verwaltete Schlüssel, wie im folgenden Screenshot gezeigt.

Screenshot of encryption tab in Azure portal.

Angeben eines Schlüssels

Nachdem Sie kundenseitig verwaltete Schlüssel aktiviert haben, können Sie einen Schlüssel angeben, der der Azure KI Services-Ressource zugeordnet werden soll.

Festlegen eines Schlüssels als URI

Gehen Sie wie folgt vor, um einen Schlüssel als URI anzugeben:

  1. Navigieren Sie im Azure-Portal zu Ihrem Key Vault.

  2. Wählen Sie unter Einstellungen die Option Schlüssel aus.

  3. Wählen Sie den gewünschten Schlüssel aus, und klicken Sie darauf, um dessen Versionen anzuzeigen. Wählen Sie eine Schlüsselversion aus, um die Einstellungen für diese Version anzuzeigen.

  4. Kopieren Sie den Wert im Feld Schlüsselkennung, den der URI (Uniform Resource Identifier) liefert.

    Screenshot of the Azure portal page for a key version. The Key Identifier box contains a placeholder for a key URI.

  5. Wechseln Sie zurück zu Ihrer Azure KI Services-Ressource, und wählen Sie Verschlüsselung aus.

  6. Wählen Sie unter Verschlüsselungsschlüssel die Option URI-Schlüssel eingeben aus.

  7. Fügen Sie den kopierten URI in das Feld URI-Schlüssel ein.

    Screenshot of the Encryption page for an Azure AI services resource. The Enter key URI option is selected, and the Key URI box contains a value.

  8. Wählen Sie unter Abonnement das Abonnement, das den Key Vault enthält.

  9. Speichern Sie die Änderungen.

Festlegen eines Schlüssels aus einem Schlüsseltresor

Um einen Schlüssel aus einem Schlüsseltresor anzugeben, müssen Sie zunächst sicherstellen, dass Sie über einen Schlüsseltresor mit einem Schlüssel verfügen. Führen Sie dann die folgenden Schritte durch:

  1. Wechseln Sie zu Ihrer Azure KI Services-Ressource, und wählen Sie Verschlüsselung aus.

  2. Wählen Sie unter Verschlüsselungsschlüssel die Option Aus Key Vault auswählen aus.

  3. Wählen Sie den Key Vault mit dem Schlüssel aus, den Sie verwenden möchten.

  4. Wählen Sie den Schlüssel aus, den Sie verwenden möchten.

    Screenshot of the Select key from Azure Key Vault page in the Azure portal. The Subscription, Key vault, Key, and Version boxes contain values.

  5. Speichern Sie die Änderungen.

Aktualisieren der Schlüsselversion

Wenn Sie eine neue Version eines Schlüssels erstellen, aktualisieren Sie die Azure KI Services-Ressource, damit sie die neue Version verwendet. Führen Sie folgende Schritte aus:

  1. Wechseln Sie zu Ihrer Azure KI Services-Ressource, und wählen Sie Verschlüsselung aus.
  2. Geben Sie den URI für die neue Schlüsselversion ein. Alternativ können Sie den Key Vault auswählen und anschließend den Schlüssel erneut auswählen, um die Version zu aktualisieren.
  3. Speichern Sie die Änderungen.

Verwenden eines anderen Schlüssels

Gehen Sie wie folgt vor, um den für die Verschlüsselung verwendeten Schlüssel zu ändern:

  1. Wechseln Sie zu Ihrer Azure KI Services-Ressource, und wählen Sie Verschlüsselung aus.
  2. Geben Sie den URI für den neuen Schlüssel ein. Alternativ können Sie auch den Key Vault auswählen und dann einen neuen Schlüssel wählen.
  3. Speichern Sie die Änderungen.

Rotieren von kundenseitig verwalteten Schlüsseln

Sie können einen kundenseitig verwalteten Schlüssel in Key Vault entsprechend Ihren Compliance-Richtlinien drehen. Wenn der Schlüssel rotiert wird, müssen Sie die Azure KI Services-Ressource aktualisieren, sodass der neue Schlüssel-URI verwendet wird. Informationen zum Aktualisieren der Ressource für die Verwendung einer neuen Version des Schlüssels im Azure-Portal finden Sie unter Aktualisieren der Schlüsselversion.

Durch Drehen des Schlüssels werden die Daten in der Ressource nicht erneut verschlüsselt. Es ist keine weitere Aktion vom Benutzer erforderlich.

Widerrufen eines kundenseitig verwalteten Schlüssels

Zum Widerrufen des Zugriffs auf von Kunden verwaltete Schlüssel können Sie PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden. Weitere Informationen finden Sie unter Azure Key Vault – PowerShell oder Azure Key Vault – CLI. Durch das Widerrufen des Zugriffs wird der Zugriff auf alle Daten in der Azure KI Services-Ressource blockiert, da Azure KI Services keinen Zugriff mehr auf den Verschlüsselungsschlüssel hat.

Deaktivieren von vom Kunden verwalteten Schlüsseln

Wenn Sie kundenseitig verwaltete Schlüssel deaktivieren, wird Ihre Azure KI Services-Ressource mit von Microsoft verwalteten Schlüsseln verschlüsselt. Führen Sie die folgenden Schritte aus, um vom Kunden verwaltete Schlüssel zu deaktivieren:

  1. Wechseln Sie zu Ihrer Azure KI Services-Ressource, und wählen Sie Verschlüsselung aus.
  2. Wählen Sie Von Microsoft verwaltete Schlüssel>Speichern aus.

Wenn Sie zuvor die vom Kunden verwalteten Schlüssel aktiviert haben, wurde damit auch eine vom System zugewiesene verwaltete Identität aktiviert, eine Funktion von Microsoft Entra ID. Sobald die dem System zugewiesene verwaltete Identität aktiviert ist, wird diese Ressource bei Microsoft Entra ID registriert. Nach der Registrierung erhält die verwaltete Identität Zugriff auf die Key Vault-Instanz, die bei der Einrichtung des kundenseitig verwalteten Schlüssels ausgewählt wurde. Sie können sich weiter über verwaltete Identitäten informieren.

Wichtig

Wenn Sie systemseitig zugewiesene verwaltete Identitäten deaktivieren, wird der Zugriff auf den Schlüsseltresor entfernt, und alle mit den Kundenschlüsseln verschlüsselten Daten sind nicht mehr zugänglich. Alle Features, die von diesen Daten abhängen, funktionieren nicht mehr.

Wichtig

Verwaltete Identitäten unterstützen derzeit keine verzeichnisübergreifenden Szenarien. Wenn Sie vom Kunden verwaltete Schlüssel im Azure-Portal konfigurieren, wird automatisch eine verwaltete Identität im Hintergrund zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder die Ressource von einem Microsoft Entra-Verzeichnis in ein anderes Verzeichnis verschieben, wird die der Ressource zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, sodass kundenseitig verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Microsoft Entra-Verzeichnissen in Häufig gestellte Fragen und bekannte Probleme mit verwalteten Identitäten für Azure-Ressourcen.

Nächste Schritte