Verschlüsseln von Datenträgern mithilfe von kundenseitig verwalteten Schlüsseln in Azure DevTest Labs

Die serverseitige Verschlüsselung (Server-side Encryption, SSE) schützt Ihre Daten und unterstützt Sie beim Einhalten der Sicherheits- und Complianceanforderungen Ihrer Organisation. Durch SSE werden Ihre auf verwalteten Datenträgern (Betriebssystemdatenträger und reguläre Datenträger) in Azure gespeicherten ruhenden Daten standardmäßig automatisch verschlüsselt, wenn sie in der Cloud gespeichert werden. Erfahren Sie mehr über Datenträgerverschlüsselung in Azure.

In DevTest Labs werden alle Betriebssystemdatenträger und Datenträger, die als Teil eines Labs erstellt werden, mit von der Plattform verwalteten Schlüsseln verschlüsselt. Als Labbesitzer können Sie jedoch Lab-VM-Datenträger mit ihren eigenen Schlüsseln verschlüsseln. Wenn Sie die Verschlüsselung mit eigenen Schlüsseln verwalten möchten, können Sie einen kundenseitig verwalteten Schlüssel angeben, der zum Verschlüsseln von Daten auf Labdatenträgern verwendet werden soll. Weitere Informationen zur serverseitigen Verschlüsselung (Server Side Encryption, SSE) mit kundenseitig verwalteten Schlüsseln und anderen Verschlüsselungstypen für verwaltete Datenträger finden Sie unter Kundenseitig verwaltete Schlüssel. Lesen Sie auch Einschränkungen bei der Verwendung von kundenseitig verwalteten Schlüsseln.

Hinweis

• Diese Einstellung gilt für neu erstellte Datenträger im Lab. Wenn Sie sich entscheiden, den Datenträgerverschlüsselungssatz irgendwann zu ändern, bleiben ältere Datenträger im Lab weiterhin mit dem vorherigen Datenträgerverschlüsselungssatz verschlüsselt.

Der folgende Abschnitt zeigt, wie ein Lab-Besitzer die Verschlüsselung mit einem kundenseitig verwalteten Schlüssel einrichten kann.

Voraussetzungen

1. Wenn Sie über keinen Datenträgerverschlüsselungssatz verfügen, vollziehen Sie die Anleitungen in diesem Artikel nach, um einen Key Vault und einen Datenträgerverschlüsselungssatz einzurichten. Beachten Sie die folgenden Anforderungen für den Datenträgerverschlüsselungssatz:

   • Der Datenträgerverschlüsselungssatz muss sich in derselben Region und im gleichen Abonnement wie ihr Lab befinden.
   • Stellen Sie sicher, dass Sie (der Labbesitzer) mindestens über Zugriff auf Leserebene für den Datenträgerverschlüsselungssatz verfügen, der zum Verschlüsseln von Labdatenträgern verwendet wird.

2. Bei Labs, die vor dem 1.8.2020 erstellt wurden, muss der Labbesitzer sicherstellen, dass die zugewiesene Identität des Labsystems aktiviert ist. Hierzu kann der Labbesitzer zum Lab wechseln, auf Konfiguration und Richtlinien und dann auf das Blatt Identität (Vorschau) klicken, die vom System zugewiesene Identität Status in Ein ändern und auf Speichern klicken. Bei neuen Labs, die nach dem 1.8.2020 erstellt wurden, ist die vom System zugewiesene Labidentität standardmäßig aktiviert.

   

3. Damit das Lab die Verschlüsselung für alle Labdatenträger verarbeitet, muss der Labbesitzer dem Lab explizit die Leserolle der systemseitig zugewiesenen Identität für den Datenträgerverschlüsselungssatz und die Rolle „Mitwirkender für virtuelle Computer“ für das zugrunde liegende Azure-Abonnement gewähren. Der Lab-Besitzer kann zu diesem Zweck die folgenden Schritte ausführen:

   1. Stellen Sie sicher, dass Sie Mitglied der Rolle „Benutzerzugriffsadministrator“ auf Azure-Abonnementebene sind, damit Sie den Benutzerzugriff auf Azure-Ressourcen verwalten können.

   2. Weisen Sie auf der Seite Datenträgerverschlüsselungssatz dem Labornamen, für den der Datenträgerverschlüsselungssatz verwendet wird, mindestens die Rolle „Leser“ zu.

      Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

   3. Navigieren Sie im Azure-Portal zur Seite Abonnement.

   4. Weisen Sie dem Lab-Namen die Rolle „VM-Mitwirkender“ zu (systemzuweisungsbezogene Identität für das Labor).

Verschlüsseln von Lab-Betriebssystemdatenträgern mit einem kundenseitig verwalteten Schlüssel

1. Wählen Sie auf der Homepage Ihres Labs im Azure-Portal Konfiguration und Richtlinien im linken Menü aus.

2. Wählen Sie auf der Seite Konfiguration und Richtlinien im Abschnitt Verschlüsselung die Option Datenträger (Vorschau) aus. Standardmäßig ist Verschlüsselungstyp auf Verschlüsselung ruhender Daten mit einem plattformseitig verwalteten Schlüssel festgelegt.

   

3. Wählen Sie las Verschlüsselungstyp die Option Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel aus der Dropdownliste aus.

4. Wählen Sie als Datenträgerverschlüsselungssatz den zuvor erstellten Datenträgerverschlüsselungssatz aus. Dabei handelt es sich um den gleichen Datenträgerverschlüsselungssatz, auf den die vom System zugewiesene Identität des Labs zugreifen kann.

5. Wählen Sie auf der Symbolleiste Speichern aus.

   

6. Wählen Sie um Textfeld mit dem folgenden Text: Diese Einstellung gilt für neu erstellte Computer im Lab. Der alte Betriebssystemdatenträger bleibt mit dem alten Datenträgerverschlüsselungssatz verschlüsselt die Option OK aus.

   Nach der Konfiguration werden die Datenträger mit dem kundenseitig verwalteten Schlüssel verschlüsselt, der mithilfe des Datenträgerverschlüsselungssatzes bereitgestellt wird.

Überprüfen, ob Datenträger verschlüsselt werden

1. Navigieren Sie zu einem virtuellen Labcomputer, der nach der Aktivierung der Datenträgerverschlüsselung mit einem kundenseitig verwalteten Schlüssel im Lab erstellt wurde.

   

2. Klicken Sie auf die Ressourcengruppe des virtuellen Computers und anschließend auf den Betriebssystemdatenträger.

   

3. Navigieren Sie zu „Verschlüsselung“, und überprüfen Sie, ob die Verschlüsselung auf den von Ihnen ausgewählten Datenträgerverschlüsselungssatz mit kundenseitig verwaltetem Schlüssel festgelegt ist.

   

Nächste Schritte

Weitere Informationen finden Sie in folgenden Artikeln:

• Azure Disk Encryption.
• Kundenseitig verwaltete Schlüssel