Verwenden des Azure-Portals zum Aktivieren der serverseitigen Verschlüsselung mit kundenseitig verwalteten Schlüsseln für verwaltete Datenträger

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️

Mit Azure Disk Storage können Sie Ihre eigenen Schlüssel verwalten, wenn Sie die serverseitige Verschlüsselung (Server Side Encryption, SSE) für verwaltete Datenträger verwenden. Informationen zum Konzept der SSE mit kundenseitig verwalteten Schlüsseln sowie zu weiteren Verschlüsselungstypen für verwaltete Datenträger finden Sie im Abschnitt Vom Kunden verwaltete Schlüssel in unserem Artikel zur Datenträgerverschlüsselung: Serverseitige Verschlüsselung von Azure Disk Storage

Voraussetzungen

Keine

Beschränkungen

Vorerst gelten für vom Kunden verwaltete Schlüssel die folgenden Einschränkungen:

  • Wenn dieses Feature für einen Datenträger mit inkrementellen Momentaufnahmen aktiviert ist, kann es auf diesem Datenträger oder seinen Momentaufnahmen nicht deaktiviert werden. Um dieses Problem zu umgehen, kopieren Sie alle Daten auf einen anderen verwalteten Datenträger ohne kundenseitig verwaltete Schlüssel. Sie können dies entweder mit der Azure CLI oder mit dem Azure PowerShell-Modul tun.
  • Ein Datenträger und alle zugehörigen inkrementellen Momentaufnahmen müssen denselben Datenträgerverschlüsselungssatz aufweisen.
  • Es werden ausschließlich Software- und HSM RSA-Schlüssel der Größen 2.048 Bit, 3.072 Bit und 4.096 Bit unterstützt.
    • Für HSM-Schlüssel ist der Premium-Tarif von Azure Key Vault erforderlich.
  • Nur für Disk Ultra- oder SSD Premium v2-Datenträger:
    • Datenträger, die von Momentaufnahmen erstellt werden, die mit serverseitiger Verschlüsselung und kundenseitig verwalteten Schlüsseln verschlüsselt wurden, müssen mit demselben Datenträgerverschlüsselungssatz verschlüsselt werden.
    • Benutzerseitig zugewiesene verwaltete Identitäten werden für Disk Ultra- und SSD Premium v2-Datenträger, die mit kundenseitig verwalteten Schlüsseln verschlüsselt sind, nicht unterstützt.
    • Das Verschlüsseln von Ultra Disks und Premium SSD V2-Datenträgern mit kundenseitig verwalteten Schlüsseln mithilfe von Azure Key Vaults, die in einem anderen Microsoft Entra ID-Mandanten gespeichert sind, wird derzeit nicht unterstützt.
  • Die meisten Ressourcen, die sich auf Ihre vom Kunden verwalteten Schlüssel (Datenträgerverschlüsselungssätze, VMs, Datenträger und Momentaufnahmen) beziehen, müssen sich im selben Abonnement und in derselben Region befinden.
    • Azure Key Vault-Instanzen können aus einem anderen Abonnement verwendet werden, müssen sich aber in derselben Region wie Ihr Datenträgerverschlüsselungssatz befinden. Als Vorschau können Sie Azure Key Vaults in verschiedenen Microsoft Entra-Mandanten verwenden.
  • Datenträger, die mit kundenseitig verwalteten Schlüsseln verschlüsselt sind, können nur in eine andere Ressourcengruppe verschoben werden, wenn die Zuordnung der VM, an die sie angefügt sind, aufgehoben wird.
  • Mit kundenseitig verwalteten Schlüsseln verschlüsselte Datenträger, Momentaufnahmen und Images können nicht zwischen Abonnements verschoben werden.
  • Verwaltete Datenträger, die vorher oder aktuell mit Azure Disk Encryption verschlüsselt wurden, können nicht mit kundenseitig verwalteten Schlüsseln verschlüsselt werden.
  • Pro Region und Abonnement können nur bis zu 5.000 Datenträgerverschlüsselungssätze erstellt werden.
  • Informationen über die Verwendung von kundenseitig verwalteter Schlüssel mit Shared Image Gallerys finden Sie unter Vorschau: Verwenden von kundenseitig verwalteten Schlüsseln zum Verschlüsseln von Images.

In den folgenden Abschnitten wird erläutert, wie Sie von Kunden verwaltete Schlüssel für verwaltete Datenträger aktivieren und verwenden:

Bei der ersten Einrichtung von kundenseitig verwalteten Schlüsseln für Ihre Datenträger müssen Sie die Ressourcen in einer bestimmten Reihenfolge erstellen. Zuerst müssen Sie eine Azure Key Vault-Instanz erstellen und einrichten.

Einrichten des Azure-Schlüsseltresors

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Schlüsseltresore, und wählen Sie diese Option aus.

    Screenshot des Azure-Portals mit erweitertem Dialogfeld für die Suche

    Wichtig

    Für eine erfolgreiche Bereitstellung müssen sich Ihr Datenträgerverschlüsselungssatz, die VM, die Datenträger und die Momentaufnahmen alle in derselben Region und im selben Abonnement befinden. Azure Key Vault-Instanzen können aus einem anderen Abonnement verwendet werden, müssen sich aber in derselben Region und demselben Mandanten wie Ihr Datenträgerverschlüsselungssatz befinden.

  3. Wählen Sie +Erstellen aus, um einen neuen Schlüsseltresor zu erstellen.

  4. Erstellen Sie eine neue Ressourcengruppe.

  5. Geben Sie einen Namen für den Schlüsseltresor ein, wählen Sie eine Region aus, und wählen Sie dann einen Tarif aus.

    Hinweis

    Beim Erstellen der Key Vault-Instanz müssen Sie vorläufiges Löschen und den Schutz vor endgültigem Löschen aktivieren. Durch vorläufiges Löschen wird sichergestellt, dass der Schlüsseltresor einen gelöschten Schlüssel für einen bestimmten Aufbewahrungszeitraum (standardmäßig 90 Tage) speichert. Der Schutz vor endgültigem Löschen stellt sicher, dass ein gelöschter Schlüssel erst nach Ablauf der Aufbewahrungsdauer dauerhaft gelöscht werden kann. Diese Einstellungen schützen Sie vor dem Verlust von Daten durch versehentliches Löschen. Diese Einstellungen sind obligatorisch, wenn ein Schlüsseltresor für die Verschlüsselung verwalteter Datenträger verwendet wird.

  6. Wählen Sie Bewerten + erstellen aus, überprüfen Sie Ihre Auswahl, und wählen Sie dann Erstellen aus.

    Screenshot: Azure Key Vault-Erstellungsvorgang mit den spezifischen Werten, die Sie erstellen müssen

  7. Nach Abschluss der Bereitstellung Ihres Schlüsseltresors wählen Sie diesen aus.

  8. Wählen Sie unter Objekte die Option Schlüssel aus.

  9. Wählen Sie die Option Generieren/Importieren aus.

    Screenshot: Key Vault-Bereich für Ressourceneinstellungen mit der Schaltfläche „Generieren/Importieren“ in den Einstellungen

  10. Lassen Sie Schlüsseltyp auf RSA und RSA-Schlüsselgröße auf 2048 festgelegt.

  11. Treffen Sie Ihre Auswahl für die verbleibenden Optionen nach Wunsch, und wählen Sie dann Erstellen aus.

    Screenshot: Bereich „Schlüssel erstellen“, der nach Auswahl der Schaltfläche „Generieren/Importieren“ angezeigt wird

Hinzufügen einer Azure RBAC-Rolle

Nachdem Sie den Azure-Schlüsseltresor und einen Schlüssel erstellt haben, müssen Sie eine Azure RBAC-Rolle hinzufügen, damit Sie Ihren Azure-Schlüsseltresor mit Ihrem Datenträgerverschlüsselungssatz verwenden können.

  1. Wählen Sie Zugriffssteuerung (IAM) aus, und fügen Sie eine Rolle hinzu.
  2. Fügen Sie die Rolle Key Vault-Administrator,Besitzeroder Mitwirkender hinzu.

Einrichten des Datenträgerverschlüsselungssatzes

  1. Suchen Sie nach Datenträgerverschlüsselungssätze, und wählen Sie sie aus.

  2. Wählen Sie im Bereich Datenträgerverschlüsselungssätze die Option + Erstellen aus.

  3. Wählen Sie Ihre Ressourcengruppe aus, geben Sie Ihrem Verschlüsselungssatz einen Namen, und wählen Sie dieselbe Region aus wie Ihr Schlüsseltresor.

  4. Wählen Sie als Verschlüsselungstyp die Option Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel aus.

    Hinweis

    Nachdem Sie einen Datenträgerverschlüsselungssatz mit einem bestimmten Verschlüsselungstyp erstellt haben, kann er nicht mehr geändert werden. Wenn Sie einen anderen Verschlüsselungstyp verwenden möchten, müssen Sie einen neuen Datenträgerverschlüsselungssatz erstellen.

  5. Stellen Sie sicher, dass Azure-Schlüsseltresor und -Schlüssel auswählen ausgewählt ist.

  6. Wählen Sie den Schlüsseltresor und den Schlüssel, die Sie zuvor erstellt haben, sowie die Version aus.

  7. Wenn Sie die automatische Rotation von kundenseitig verwalteten Schlüsseln aktivieren möchten, wählen Sie Automatische Schlüsselrotation aus.

  8. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.

    Screenshot: Bereich zum Erstellen der Datenträgerverschlüsselung. Zeigt das Abonnement, die Ressourcengruppe, den Namen der Datenträgerverschlüsselungsgruppe, die Region und den Schlüsseltresor sowie die Schlüsselauswahl an.

  9. Navigieren Sie zum Datenträgerverschlüsselungssatz, nachdem er bereitgestellt wurde, und wählen Sie die angezeigte Warnung aus.

    Screenshot eines Benutzers, der die Benachrichtigung „Um diesem Datenträgerverschlüsselungssatz einen Datenträger, ein Image oder eine Momentaufnahme zuzuordnen, müssen Sie dem Schlüsseltresor Berechtigungen erteilen“ auswählt.

  10. Dadurch erhält Ihr Schlüsseltresor Berechtigungen für den Datenträgerverschlüsselungssatz.

    Screenshot der Bestätigung, dass Berechtigungen erteilt wurden.

Bereitstellen einer VM

Nachdem Sie nun Ihren Schlüsseltresor und den Datenträgerverschlüsselungssatz erstellt und eingerichtet haben, können Sie eine VM mit der Verschlüsselung bereitstellen. Das Verfahren zur VM-Bereitstellung ähnelt dem Standardbereitstellungsverfahren. Die einzigen Unterschiede bestehen darin, dass Sie den virtuellen Computer in derselben Region wie Ihre anderen Ressourcen bereitstellen müssen und einen vom Kunden verwalteten Schlüssel verwenden.

  1. Suchen Sie nach Virtuelle Computer, und wählen Sie + Erstellen aus, um eine VM zu erstellen.

  2. Wählen Sie im Bereich Basic die Region aus, in der sich Ihr Datenträgerverschlüsselungssatz und Ihre Azure Key Vault-Instanz befinden.

  3. Geben Sie in den weiteren Feldern im Bereich Basic nach Bedarf Werte ein.

    Screenshot des VM-Erstellungsvorgangs mit hervorgehobenem Wert für die Region.

  4. Wählen Sie im Bereich Datenträger bei Schlüsselverwaltung Datenträgerverschlüsselungssatz, Ihren Schlüsseltresor und Ihren Schlüssel in der Dropdownliste aus.

  5. Treffen Sie die verbleibende Auswahl nach Wunsch.

    Screenshot: VM-Erstellung, Bereich „Datenträger“, Option „Kundenseitig verwalteter Schlüssel“ ausgewählt

Aktivieren auf einem vorhandenen Datenträger

Achtung

Um die Datenträgerverschlüsselung auf einem an eine VM angefügten Datenträger zu aktivieren, müssen Sie die VM anhalten.

  1. Navigieren Sie zu einer VM, die sich in derselben Region befindet wie einer Ihrer Datenträgerverschlüsselungssätze.

  2. Öffnen Sie die VM, und wählen Sie Beenden aus.

Screenshot der Hauptüberlagerung für Ihre Beispiel-VM, wobei die Schaltfläche „Beenden“ hervorgehoben ist.

  1. Nachdem die VM angehalten wurde, wählen Sie Datenträger und dann den Datenträger aus, den Sie verschlüsseln möchten.

Screenshot: Beispiel-VM mit geöffnetem Bereich „Datenträger“; der Betriebssystemdatenträger ist als auswählbarer Beispieldatenträger hervorgehoben

  1. Wählen Sie Verschlüsselung aus. Wählen Sie in der Schlüsselverwaltung unter Kundenseitig verwalteter Schlüssel Ihren Schlüsseltresor und Ihren Schlüssel in der Dropdownliste aus.

  2. Wählen Sie Speichern aus.

Screenshot: Betriebssystemdatenträger; Bereich „Verschlüsselung“ ist geöffnet, Option „Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel“ sowie Ihre Azure Key Vault-Beispielinstanz sind ausgewählt

  1. Wiederholen Sie diesen Vorgang für alle anderen an die VM angefügten Datenträger, die Sie verschlüsseln möchten.

  2. Wenn die Umstellung der Datenträger auf kundenseitig verwaltete Schlüssel abgeschlossen ist und Sie keine weiteren angefügten Datenträger verschlüsseln möchten, starten Sie Ihre VM.

Wichtig

Kundenseitig verwaltete Schlüssel basieren auf den verwalteten Identitäten von Azure-Ressourcen, einem Feature von Microsoft Entra ID. Wenn Sie vom Kunden verwaltete Schlüssel konfigurieren, wird Ihren Ressourcen im Hintergrund automatisch eine verwaltete Identität zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder den verwalteten Datenträger von einem Microsoft Entra-Verzeichnis in ein anderes Verzeichnis verschieben, wird die den verwalteten Datenträgern zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, sodass kundenseitig verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Microsoft Entra-Verzeichnissen.

Aktivieren der automatischen Schlüsselrotation für einen vorhandenen Datenträgerverschlüsselungssatz

  1. Navigieren Sie zum Datenträgerverschlüsselungssatz, auf dem Sie die automatische Schlüsselrotation aktivieren möchten.

  2. Wählen Sie unter Einstellungen die Option Schlüssel aus.

  3. Wählen Sie automatische Schlüsselrotation und dann Speichern.