Azure Managed Disks unterstützt Verschlüsselung mit Kundenschlüsseln
Im Rahmen einer öffentlichen Preview hat Microsoft die serverseitige Verschlüsselung von Azure Managed Disks mit vom Kunden verwalteten Schlüsseln angekündigt. Zweifellos sind Azure Managed Disks standardmäßig verschlüsselt, nur erfolgt die serverseitige Verschlüsselung mit Platform Managed Keys; Verschlüsselungsschlüsseln, die von Microsoft verwaltet werden. Eine Tatsache, die sich für Kunden mit eigenen Compliance Anforderungen als nicht ganz unproblematisch darstellt. Mit diesem neuen Service erhalten Kunden dagegen deutlich mehr Kontrolle über die Verschlüsselungsschlüssel, und damit einhergehend, über die Festplattenverschlüsselung ihrer virtuellen Workloads mit Bitlocker für Windows und DM-Crypt für Linux.
Die Verwaltung der Kundenschlüssel erfolgt in Azure Key Vault, einem hochverfügbaren, sicheren Speicher für RSA-Kryptoschlüssel, der durch Hardware-Sicherheitsmodule (HSMs) geschützt wird. Dabei können die Krypto-Schlüssel entweder aus einem kundeneigenen HSM in ein Azure Key Vault importiert oder direkt im Azure Key Vault generiert werden. Die Verschlüsselung in Azure Storage erfolgt mit einem Advanced Encryption Standard (AES) 256-basierten Datenverschlüsselungsschlüssel, der wiederum mit dem im Azure Key Vault gespeicherten Kunden Schlüssel geschützt ist. Für die Zugriffskontrolle auf die Schlüssel im Azure Key Vault verwendet Azure Managed Disk Identitäten aus dem Azure Active Directory, die Schlüsselverwendung erfolgt über die Überwachung von Azure Key Vault.
Die Azure Festplattenverschlüsselung mit Kundenschlüsseln ist für Standard-Festplatten, Standard-SSD und Premium-SSD verwaltete Festplatten einsetzbar. Allerdings ist die Preview aktuell nur in der Azure Region West Central US verfügbar; die Planung für weitere Azure Regionen läuft.
Azure Managed Disks sind verwaltete Datenträger in Form von virtuellen Festplatten, bei denen es sich um zufällige E/A-Speicherobjekte handelt, die wiederum eine Abstraktion über Seitenblobs, Blobcontainer und Azure-Speicherkonten darstellen.
Quelle: Microsoft