Grundlegendes zu den Sicherheitsfeatures von Azure Storage
Azure Storage verwendet dienstseitige Verschlüsselung (Service-side Encryption, SSE), um Ihre Daten beim Speichern in der Cloud automatisch zu verschlüsseln. Durch die Azure Storage-Verschlüsselung werden Ihre Daten ausreichend geschützt, um den Sicherheits- und Complianceanforderungen Ihrer Organisation gerecht zu werden.
Microsoft empfiehlt die Verwendung der dienstseitigen Verschlüsselung, um Ihre Daten für die meisten Szenarien zu schützen. Die Azure Storage-Clientbibliotheken für Blob Storage und Warteschlangenspeicher bieten jedoch auch clientseitige Verschlüsselung für Kunden, die Daten auf dem Client verschlüsseln müssen.
Azure Storage-Verschlüsselung für ruhende Daten
Azure Storage verschlüsselt Ihre Daten beim Speichern in der Cloud automatisch. Eine Verschlüsselung schützt Ihre Daten und unterstützt Sie beim Einhalten der Sicherheits- und Complianceanforderungen Ihrer Organisation. Daten in Azure Storage werden mithilfe der 256-Bit-AES-Verschlüsselung (Advanced Encryption Standard) transparent verschlüsselt und entschlüsselt. Dabei handelt es sich um eine der stärksten verfügbaren Blockchiffren, die zudem FIPS 140-2-konform (Federal Information Processing Standards) ist. Die Azure Storage-Verschlüsselung ähnelt der BitLocker-Verschlüsselung unter Windows.
Die Azure Storage-Verschlüsselung ist für alle Speicherkonten aktiviert und kann nicht deaktiviert werden. Da Ihre Daten standardmäßig geschützt werden, müssen Sie weder Code noch Anwendungen ändern, um die Azure Storage-Verschlüsselung nutzen zu können.
Daten in einem Speicherkonto werden unabhängig von Leistungsstufe, Zugriffsebene oder Bereitstellungsmodell verschlüsselt. Alle neuen und vorhandenen Block-Blobs, Anfüge-Blobs und Seitenblobs werden verschlüsselt, einschließlich Blobs in der Archivebene. Die Verschlüsselung wird von allen Azure Storage-Redundanzoptionen unterstützt, und bei aktivierter Georeplikation werden alle Daten in der primären und sekundären Region verschlüsselt. Alle Azure Storage-Ressourcen werden verschlüsselt, z. B. Blobs, Datenträger, Dateien, Warteschlangen und Tabellen. Objektmetadaten werden ebenfalls verschlüsselt.
Für Azure Storage-Verschlüsselung entstehen keine zusätzlichen Kosten.
Verwaltung von Verschlüsselungsschlüsseln
Daten in einem neuen Speicherkonto werden standardmäßig mit von Microsoft verwalteten Schlüsseln verschlüsselt. Sie können von Microsoft verwaltete Schlüssel für die Verschlüsselung Ihrer Daten weiterhin nutzen oder die Verschlüsselung mit Ihren eigenen Schlüsseln verwalten. Wenn Sie die Verschlüsselungsverwaltung mit Ihren eigenen Schlüsseln wählen, haben Sie zwei Optionen. Sie können eine der beiden Arten der Schlüsselverwaltung oder beide verwenden:
Sie können einen kundenseitig verwalteten Schlüssel angeben, der zum Verschlüsseln und Entschlüsseln von Daten in Blob Storage und Azure Files verwendet werden soll. Kundenseitig verwaltete Schlüssel müssen in Azure Key Vault oder Azure Key Vault Managed Hardware Security Model (HSM) gespeichert werden.
Sie können einen vom Kunden bereitgestellten Schlüssel für Blob Storage-Vorgänge angeben. Ein Client kann einen Verschlüsselungsschlüssel in eine Lese-/Schreibanforderung einschließen, um präzise Kontrolle darüber zu erhalten, wie Blobdaten verschlüsselt und entschlüsselt werden.
In der folgenden Tabelle werden die Schlüsselverwaltungsoptionen für Azure Storage-Verschlüsselung verglichen.
| Schlüsselverwaltungsparameter | Von Microsoft verwaltete Schlüssel | Kundenseitig verwaltete Schlüssel | Vom Kunden bereitgestellte Schlüssel |
|---|---|---|---|
| Verschlüsselungs-/Entschlüsselungsvorgänge | Azure | Azure | Azure |
| Unterstützte Azure Storage-Dienste | Alle | Blob Storage, Azure Files | Blob Storage |
| Schlüsselspeicher | Microsoft-Schlüsselspeicher | Azure Key Vault oder Key Vault HSM | Eigener Schlüsselspeicher des Kunden |
| Verantwortlich für die Schlüsselrotation | Microsoft | Kunde | Kunde |
| Schlüsselkontrolle | Microsoft | Kunde | Kunde |
| Schlüsselbereich | Konto (Standard), Container oder Blob | Konto (Standard), Container oder Blob | Nicht zutreffend |
Clientseitige Verschlüsselung
Die Azure Blob Storage-Clientbibliotheken für .NET, Java und Python unterstützen das Verschlüsseln von Daten in Clientanwendungen vor dem Hochladen in Azure Storage und das Entschlüsseln von Daten beim Herunterladen auf den Client. Die Warteschlangenspeicher-Clientbibliotheken für .NET und Python unterstützen auch die clientseitige Verschlüsselung.
Die Blob-Speicher- und Warteschlangenspeicher-Clientbibliotheken verwenden AES, um Benutzerdaten zu verschlüsseln. Es gibt zwei Versionen der clientseitigen Verschlüsselung in den Clientbibliotheken:
- Version 2 verwendet den Galois/Counter Mode (GCM)-Modus mit AES. Die BLOB-Speicher- und Warteschlangenspeicher-SDKs unterstützen die clientseitige Verschlüsselung mit v2.
- Version 1 verwendet den CBC-Modus (Cipher Block Chaining) mit AES. Die BLOB-Speicher-, Warteschlangenspeicher- und Tabellenspeicher-SDKs unterstützen die clientseitige Verschlüsselung mit v1.