Implementierung der Data-at-Rest-Verschlüsselung in Azure Storage

Implementierung der Data-at-Rest-Verschlüsselung in Azure Storage

01.03.2025

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Implementierung und Konfiguration der Datenverschlüsselung im Ruhezustand in Azure Storage unterstützen. Der Schutz gespeicherter Daten ist eine grundlegende Sicherheitsmaßnahme. Azure Storage bietet standardmäßig eine starke Verschlüsselung mit Microsoft Managed Keys (MMK) und ermöglicht die Verwendung von Customer Managed Keys (CMK) über Azure Key Vault für eine bessere Kontrolle [1].

Einführung

Durch die Verschlüsselung ruhender Daten wird sichergestellt, dass gespeicherte Daten vor unbefugtem Zugriff geschützt sind. In Azure werden alle Daten im Azure Storage standardmäßig verschlüsselt [2]. Für Organisationen mit strengen Compliance-Anforderungen ist die Verwendung von CMK unerlässlich, da es die vollständige Kontrolle über den Lebenszyklus von Verschlüsselungsschlüsseln (Erstellung, Rotation und Widerruf) gewährt.

In diesem Leitfaden wird die Konfiguration beider Verschlüsselungsmodelle behandelt, wobei der Schwerpunkt auf der Implementierung und Validierung kundenverwalteter Schlüssel liegt.

Warum ist die Verschlüsselung ruhender Daten so wichtig?

  • Schutz vor unbefugtem Zugriff: Stellt sicher, dass Daten ohne den Entschlüsselungsschlüssel nicht lesbar sind.
  • Einhaltung von Vorschriften: Hilft bei der Einhaltung von Vorschriften wie LGPD, DSGVO, HIPAA usw.
  • Schlüsselkontrolle: Mit CMK behalten Unternehmen die volle Kontrolle über Verschlüsselungsschlüssel.

Voraussetzungen

  1. Aktives Azure-Abonnement.
  2. Administratorzugriff: Berechtigungen zum Verwalten von Speicherkonten und Schlüsseltresoren.
  3. Vorhandenes Azure Storage-Konto (StorageV2 bevorzugt).
  4. Azure Key Vault zum Speichern von CMKs.

Schritt für Schritt: Verschlüsselung konfigurieren

1. Verschlüsselung mit von Microsoft verwalteten Schlüsseln (Standard)

Dies ist die Standard- und automatische Einstellung. Zur Überprüfung:

  1. Navigieren Sie im Azure-Portal zu Ihrem Speicherkonto.
  2. Wählen Sie unter „Sicherheit + Netzwerk“ Verschlüsselung aus.
  3. Bestätigen Sie, dass der Standard-Verschlüsselungstyp „Microsoft Managed Keys“ ist.

2. Kryptografie mit kundenverwalteten Schlüsseln (Customer Managed Keys, CMK) implementieren

2.1. Erstellen Sie einen Azure Key Vault und einen Schlüssel

  1. Erstellen Sie einen neuen Azure Key Vault. Wichtig: Aktivieren Sie den Bereinigungsschutz während der Erstellung.
  2. Navigieren Sie in Key Vault zu Schlüssel und klicken Sie auf Generieren/Importieren, um einen neuen Schlüssel zu erstellen (z. B. „storage-cmk-key“).

2.2. Speicherkontozugriff konfigurieren

  1. Navigieren Sie zu Ihrem Speicherkonto.
  2. Gehen Sie zu Verschlüsselung und ändern Sie den „Verschlüsselungstyp“ in „Vom Kunden verwaltete Schlüssel“.
  3. Wählen Sie die Option zur Verwendung eines Schlüssels aus Key Vault. Wenn Sie dies tun, werden Sie von Azure aufgefordert, eine verwaltete Identität für das Speicherkonto zu erstellen. Erlauben.
  4. Gehen Sie nun zurück zu Ihrem Key Vault und gehen Sie zu Zugriffsrichtlinien.
  5. Erstellen Sie eine neue Zugriffsrichtlinie. Erteilen Sie die Schlüsselberechtigungen „Get“, „Wrap Key“ und „Unwrap Key“.
  6. Suchen Sie im Schritt „Sicherheitsprinzipal“ nach der verwalteten Identität für Ihr Speicherkonto und wählen Sie sie aus.
  7. Speichern Sie die Zugriffsrichtlinie.

2.3. Konfigurieren Sie das Speicherkonto für die Verwendung von CMK

  1. Kehren Sie zur Seite Verschlüsselung für Ihr Speicherkonto zurück.
  2. Wählen Sie den Schlüsseltresor und den von Ihnen erstellten Schlüssel aus.
  3. Änderungen speichern. Von nun an werden alle im Konto erfassten Daten mit Ihrem Schlüssel verschlüsselt.

Validierung und Tests

1. Datenzugriff testen

Laden Sie nach der Konfiguration des CMK eine Datei hoch und laden Sie sie herunter. Der Vorgang muss transparent sein.

„Bash

Laden Sie eine Testdatei

az storage blob upload --account-name -c -n "test.txt" -f "local/path/to/test.txt" --auth-mode login

Laden Sie die Testdatei herunter

az storage blob download --account-name -c -n "test.txt" -f "local/path/to/downloaded.txt" --auth-mode login „

2. Testen der Sperrung des Schlüsselzugriffs

Dies ist der kritischste Test für CMK.

  1. Navigieren Sie in Ihrem Key Vault zu dem verwendeten Schlüssel.
  2. Klicken Sie auf die aktuelle Schlüsselversion und ändern Sie die Einstellung Aktiviert in Nein.
  3. Warten Sie einige Minuten.
  4. Versuchen Sie, auf die Daten in Ihrem Speicherkonto zuzugreifen (versuchen Sie z. B. erneut, den Blob herunterzuladen).
  5. Erwartetes Ergebnis: Der Vorgang sollte mit der Fehlermeldung „Zugriff verweigert“ fehlschlagen (403 Forbidden), was beweist, dass Sie die volle Kontrolle über den Datenzugriff haben.
  6. Vergessen Sie nicht, den Schlüssel erneut zu aktivieren, um den Zugriff wiederherzustellen.

Schlüsselrotation

Die Schlüsselrotation ist eine wesentliche Sicherheitsmaßnahme. Mit CMK haben Sie zwei Möglichkeiten:

  • Manuelle Rotation: Erstellen Sie eine neue Version des Schlüssels in Key Vault und aktualisieren Sie die Verschlüsselungskonfiguration im Speicherkonto, um auf die neue Version zu verweisen.
  • AutoRotation: Geben Sie beim Konfigurieren des CMK für das Speicherkonto keine Schlüsselversion an. Das Speicherkonto überprüft Key Vault regelmäßig und verwendet automatisch die neueste Version des Schlüssels [3].

Best Practices

  • Aktivieren Sie Wipe Protection und Soft Deletion in Ihrem Key Vault, um Ihre Schlüssel vor versehentlichem oder böswilligem Löschen zu schützen.
  • Verwenden Sie verwaltete Identitäten, um dem Speicherkonto den Zugriff auf Key Vault zu ermöglichen. Es ist sicherer als andere Methoden.
  • Key Vault-Aktivität überwachen: Verwenden Sie Key Vault-Diagnoseprotokolle, um zu überwachen, wer wann auf Ihre Schlüssel zugreift.
  • Sichere Übertragung erforderlich (HTTPS): Erfordern Sie beim Einrichten Ihres Speicherkontos immer eine sichere Übertragung, um Daten während der Übertragung zu verschlüsseln.

Fazit

Die Verschlüsselung ruhender Daten in Azure Storage ist eine grundlegende Verteidigungsebene. Während von Microsoft verwaltete Schlüssel standardmäßig Sicherheit ohne Aufwand bieten, bieten kundenverwaltete Schlüssel (CMK) das Maß an Kontrolle und Sicherheit, das viele Organisationen benötigen, um strenge Sicherheits- und Compliance-Anforderungen zu erfüllen. Durch die Beherrschung der CMK-Implementierung und -Verwaltung stellen Sie sicher, dass Ihre Daten geschützt und unter Ihrer Kontrolle bleiben.

Referenzen

[1] Microsoft. (2023). Überblick über die Azure Storage-Verschlüsselung. [2] Microsoft. (2023). Azure Storage Service-Verschlüsselung für ruhende Daten. [3] Microsoft. (2023). Vom Kunden verwaltete Schlüssel für die Azure Storage-Verschlüsselung.