Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Azure umfasst Tools zum Schutz von Daten gemäß den Sicherheits- und Complianceanforderungen Ihres Unternehmens. Dieser Artikel konzentriert sich auf:
- Wie Ruhedaten über Microsoft Azure geschützt werden.
- Die verschiedenen Komponenten, die an der Implementierung des Datenschutzes beteiligt sind.
- Die Vor- und Nachteile verschiedener Schutzansätze für die Schlüsselverwaltung.
Verschlüsselung im Ruhezustand ist eine häufige Sicherheitsanforderung. Azure verschlüsselt Daten im Ruhezustand standardmäßig mit plattformverwalteten Schlüsseln. Dieser Ansatz bietet Organisationen die automatische Verschlüsselung ohne das Risiko oder die Kosten einer benutzerdefinierten Schlüsselverwaltungslösung. Organisationen können sich darauf verlassen, dass Azure die Verschlüsselung in Ruhe verwaltet, indem sie plattformverwaltete Schlüssel verwenden, oder sie können kundenverwaltete Schlüssel verwenden, wenn sie zusätzliche Kontrolle über Verschlüsselungsschlüssel und Schlüsselverwaltungsrichtlinien benötigen.
Was ist die Verschlüsselung ruhender Daten?
Verschlüsselung ist die sichere Codierung von Daten, die zum Schutz der Vertraulichkeit von Daten verwendet werden. Die Azure-Verschlüsselungsentwürfe für ruhende Daten verwenden symmetrische Verschlüsselung, um große Datenmengen schnell anhand eines einfachen konzeptuellen Modells zu verschlüsseln und zu entschlüsseln.
- Ein symmetrischer Verschlüsselungsschlüssel verschlüsselt Daten, sobald sie in den Speicher geschrieben werden.
- Derselbe Verschlüsselungsschlüssel entschlüsselt diese Daten, während sie für den Speicher vorbereitet werden.
- Verschiedene Partitionen können unterschiedliche Schlüssel verwenden.
- Speichern Sie Schlüssel an einem sicheren Ort mit identitätsbasierten Zugriffskontrollen und Audit-Richtlinien. Wenn Datenverschlüsselungsschlüssel außerhalb sicherer Orte gespeichert werden, verschlüsseln Sie sie mit einem Schlüsselverschlüsselungsschlüssel, der an einem sicheren Ort aufbewahrt wird.
In der Praxis erfordern Szenarios der Schlüsselverwaltung und -steuerung sowie die Skalierungs- und Verfügbarkeitssicherstellung zusätzliche Konstrukte. In den folgenden Abschnitten werden die Konzepte und Komponenten der Microsoft Azure Verschlüsselung für ruhende Daten beschrieben.
Zweck der ruhenden Verschlüsselung
Verschlüsselung in Ruhe schützt gespeicherte Daten. Angriffe auf ruhende Daten umfassen Versuche, physischen Zugriff auf die Hardware zu erhalten, die die Daten speichert, und dann die enthaltenen Daten zu kompromittieren. Bei einem solchen Angriff kann die Festplatte eines Servers während der Wartung falsch behandelt werden, wodurch ein Angreifer die Festplatte entfernen kann. Der Angreifer platziert die Festplatte später in einen Computer, der sich unter seiner Kontrolle befindet, um auf die Daten zuzugreifen.
Verschlüsselung in Ruhe verhindert, dass ein Angreifer auf unverschlüsselte Daten zugreifen kann, indem sichergestellt wird, dass die Daten auf der Festplatte verschlüsselt sind. Wenn ein Angreifer sich Zugriff auf eine Festplatte mit verschlüsselten Daten verschafft, aber nicht über die Verschlüsselungsschlüssel verfügt, muss er die Verschlüsselung zum Lesen der Daten umgehen. Dieser Angriff ist viel komplexer und ressourcenintensiver als der Zugriff auf unverschlüsselte Daten auf einer Festplatte. Aus diesem Grund machen viele Organisationen Verschlüsselung im Ruhezustand zu einer hohen Prioritätsanforderung.
Auch die Datenverwaltungs- und Compliance-Bemühungen einer Organisation erfordern möglicherweise eine Verschlüsselung in Ruhephase. Industrie- und Regierungsvorschriften wie HIPAA, PCI und FedRAMP legen spezifische Schutzmaßnahmen für Datenschutz- und Verschlüsselungsanforderungen fest. Einige dieser Vorschriften verlangen eine Verschlüsselung im Ruhemodus. Weitere Informationen zu Microsoft Ansatz zur FIPS 140-Validierung finden Sie unter Federal Information Processing Standard (FIPS) 140.
Zusätzlich zur Erfüllung von Konformitäts- und rechtlichen Anforderungen bietet die Verschlüsselung im Ruhezustand einen umfassenden Schutz. Microsoft Azure stellt eine kompatible Plattform für Dienste, Anwendungen und Daten bereit. Darüber hinaus bietet Azure umfassende Sicherheit für Einrichtungen, physische Sicherheit, Datenzugriffskontrolle und Überwachung. Es ist jedoch wichtig, zusätzliche "überlappende" Sicherheitsmaßnahmen bereitzustellen, falls eine der anderen Sicherheitsmaßnahmen versagt. Verschlüsselung im Ruhezustand bietet eine solche Sicherheitsmaßnahme.
Microsoft bietet Verschlüsselungsoptionen im Ruhezustand über Cloud-Dienste hinweg und gibt den Kunden die Kontrolle über Verschlüsselungsschlüssel und Protokolle der Schlüsselnutzung. Microsoft arbeitet außerdem daran, alle im Ruhezustand stehenden Kundendaten standardmäßig zu verschlüsseln.
Schlüsselverwaltungsoptionen
Azure bietet zwei primäre Ansätze für die Verwaltung von Verschlüsselungsschlüsseln:
Plattformverwaltete Schlüssel (Standard) (auch manchmal auch serviceverwaltete Schlüssel genannt): Azure übernimmt automatisch alle Aspekte der Verschlüsselungsschlüsselverwaltung, einschließlich Schlüsselgenerierung, Speicherung, Rotation und Sicherung. Dieser Ansatz bietet eine ruhende Verschlüsselung, die keinerlei Konfiguration von Kunden erfordert und standardmäßig in allen Azure-Diensten aktiviert ist. Plattformverwaltete Schlüssel bieten höchsten Komfort und erfordern keinen zusätzlichen Kosten- oder Verwaltungsaufwand.
Kundenverwaltete Schlüssel (optional): Kunden, die mehr Kontrolle über ihre Verschlüsselungsschlüssel benötigen, können ihre eigenen Schlüssel mit Azure Key Vault oder Azure Key Vault Managed HSM verwalten. Dieser Ansatz ermöglicht es Kunden, Schlüssellebenszyklen, Zugriffsrichtlinien und kryptografische Operationen zu kontrollieren. Vom Kunden verwaltete Schlüssel bieten zusätzliche Kontrolle über die Kosten erhöhter Verwaltungsverantwortung und Komplexität. Für Organisationen mit regulatorischen oder vertraglichen Anforderungen, die vorschreiben, dass Schlüsselmaterial physisch außerhalb der Microsoft-Infrastruktur untergebracht werden muss, unterstützt Azure Key Vault Managed HSM außerdem das externe Schlüsselmanagement (Vorschau), das den Schlüsselverschlüsselungsschlüssel (KEK) in einem kundenbetriebenen Hardware-Sicherheitsmodul (HSM) vollständig außerhalb von Azure aufbewahrt.
Die Wahl zwischen diesen Ansätzen hängt von den Sicherheitsanforderungen, Complianceanforderungen und betrieblichen Vorlieben Ihrer Organisation ab. Die meisten Organisationen können sich auf plattformverwaltete Schlüssel für einen robusten Verschlüsselungsschutz verlassen, während Organisationen mit bestimmten behördlichen oder Sicherheitsanforderungen möglicherweise für vom Kunden verwaltete Schlüssel entscheiden.
Komponenten der Azure-Verschlüsselung im Ruhezustand
Wie bereits beschrieben, sorgt die Verschlüsselung ruhender Daten dafür, dass auf der Festplatte gespeicherte Daten mithilfe eines geheimen Schlüssels verschlüsselt bleiben. Um dieses Ziel zu erreichen, benötigen Azure-Dienste sichere Schlüsselerstellung, Speicherung, Zugriffskontrolle und Verschlüsselungsschlüsselverwaltung. Obwohl die Details variieren können, verwenden Implementierungen der Verschlüsselung ruhender Daten in Azure-Diensten die im folgenden Diagramm dargestellten Begriffe.
Azure Key Vault
Der Speicherort der Verschlüsselungsschlüssel und der Zugriffssteuerung dieser Schlüssel ist für das Modell der Verschlüsselung ruhender Daten wesentlich. Sie müssen die Schlüssel hoch sichern, aber sie durch bestimmte Benutzer verwaltbar machen und bestimmten Diensten zur Verfügung stellen. Für Azure-Dienste ist Azure Key Vault (Premium-Stufe) oder Azure Key Vault Managed HSM die empfohlene Schlüsselspeicherlösung und bietet ein gemeinsames Management-Erlebnis über verschiedene Dienste hinweg. Sie speichern und verwalten Schlüssel in Schlüsseltresorn, und Sie können Benutzern oder Diensten Zugriff auf einen Schlüsseltresor gewähren. Azure Key Vault unterstützt von Kunden erstellte Schlüssel und importierte Kundenschlüssel für den Einsatz in kundenverwalteten Verschlüsselungsschlüsselszenarien.
Microsoft Entra ID
Sie können Microsoft Entra-Konten die Berechtigung geben, die in Azure Key Vault gespeicherten Schlüssel zu verwenden, entweder um sie zu verwalten oder auf sie für Verschlüsselungs- und Entschlüsselungsoperationen zuzugreifen.
Umschlagverschlüsselung mit einer Schlüsselhierarchie
Sie verwenden mehr als einen Verschlüsselungsschlüssel in einer Rest-Verschlüsselungsimplementierung. Die Speicherung eines Verschlüsselungsschlüssels in Azure Key Vault gewährleistet sicheren Schlüsselzugriff und zentrale Schlüsselverwaltung. Allerdings ist der dienstlokale Zugriff auf Verschlüsselungsschlüssel für Massenverschlüsselung und Entschlüsselung effizienter als die Interaktion mit Key Vault für jede Datenoperation. Diese Methode ermöglicht eine stärkere Verschlüsselung und bessere Leistung. Das Einschränken der Verwendung eines einzelnen Verschlüsselungsschlüssels verringert das Risiko, dass der Schlüssel kompromittiert wird, und die Kosten für die erneute Verschlüsselung, wenn ein Schlüssel ersetzt werden muss. Azure-Verschlüsselungsmodelle im Ruhezustand verwenden Hüllkurvenverschlüsselung, bei der ein KEK einen Datenverschlüsselungsschlüssel (DEK) verschlüsselt. Dieses Modell bildet eine zentrale Hierarchie, die Leistungs- und Sicherheitsanforderungen besser abdeckt:
- Datenverschlüsselungsschlüssel (DEK) – Ein symmetrischer AES-256-Schlüssel, der eine Partition oder einen Datenblock verschlüsselt, manchmal auch als Datenschlüssel bezeichnet. Eine einzelne Ressource kann viele Partitionen und viele DEKs enthalten. Das Verschlüsseln jedes Datenblocks mit einem anderen Schlüssel erschwert Kryptoanalyse-Angriffe. DEKs lokal im Dienst zu halten, der Daten verschlüsselt und entschlüsselt, maximiert die Leistung.
- Schlüsselverschlüsselungsschlüssel (KEK) – Ein Verschlüsselungsschlüssel, der die DEKs mittels Envelope-Verschlüsselung, auch als Wrapping bezeichnet, verschlüsselt. Mit einem KEK, der Key Vault nie verlässt, können Sie die DEKs verschlüsseln und steuern. Die Entität, die Zugriff auf das KEK hat, kann sich von der Entität unterscheiden, die die DEK erfordert. Eine Entität kann den Zugriff auf die DEK vermitteln, um den Zugriff der einzelnen DEK auf eine bestimmte Partition zu beschränken. Da das KEK zur Entschlüsselung der DEKs erforderlich ist, können Kunden DEKs und Daten kryptografisch löschen, indem sie das KEK deaktivieren. Das Deaktivieren eines KEK macht alle abhängigen Dienste unzugänglich, wie z. B. Azure SQL Transparent Data Encryption (TDE)-Datenbanken, Azure Storage Konten mit vom Kunden verwalteten Schlüssel und Azure Disk Encryption-geschützte VMs. Das Deaktivieren wirkt sich auch nur auf den Tresor aus, in dem sich dieser Schlüssel befindet. Wenn der Schlüssel gesichert und in einem anderen Tresor wiederhergestellt wurde, bleibt die wiederhergestellte Kopie voll funktionsfähig und wird nicht von der Deaktivierungsfunktion beeinflusst. Weitere Informationen finden Sie unter Backup-Sicherheitsüberlegungen.
Ressourcenanbieter und Anwendungsinstanzen speichern die verschlüsselten DEKs als Metadaten. Nur eine Entität mit Zugriff auf den KEK kann diese DEKs entschlüsseln. Azure unterstützt verschiedene Modelle der Schlüsselspeicherung. Weitere Informationen finden Sie unter Datenverschlüsselungsmodelle.
Wenn Dienste DEKs lokal für aktive kryptografische Vorgänge zwischenspeichern, werden die zwischengespeicherten Schlüssel durch Azure Plattformsicherheitssteuerelemente geschützt, einschließlich host-Level-Computeisolation und Schutz auf Prozessebene. Zwischengespeicherte Betriebsschlüssel sind ein Verfügbarkeits- und Leistungsmechanismus – das KEK in Key Vault bleibt die Vertrauenswurzel, und der Schlüsselwiderruf regelt den Zugriff auf verschlüsselte Daten.
Verschlüsselung ruhender Daten in Microsoft-Clouddiensten
Sie nutzen Microsoft-Cloud-Dienste in allen drei Cloud-Modellen: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Die folgenden Beispiele zeigen, wie sie in jedes Modell passen:
- Softwaredienste, oder SaaS, bieten cloudgehostete Anwendungen wie Microsoft 365.
- Plattformdienste, oder PaaS, bieten Cloud-Funktionen wie Speicher, Analytics und Servicebus-Funktionalität für Kundenanwendungen.
- Infrastrukturdienste, oder IaaS, hosten von Kunden bereitgestellte Betriebssysteme und Anwendungen, die auch andere Cloud-Dienste nutzen können.
Verschlüsselung ruhender Daten für SaaS-Kunden
Software-as-a-Service-Kunden haben die Verschlüsselung ruhender Daten üblicherweise aktiviert oder sie steht zumindest in jedem Dienst zur Verfügung. Microsoft 365 verfügt über mehrere Optionen, mit denen Kunden die Verschlüsselung im Ruhezustand überprüfen oder aktivieren können. Informationen zu Microsoft 365 Diensten finden Sie unter Encryption in Microsoft 365.
Verschlüsselung ruhender Daten for PaaS-Kunden
Plattform as a Service (PaaS)-Kunden speichern ihre Daten in der Regel in einem Speicherdienst wie Blob Storage. Die Daten können jedoch auch in der Anwendungsausführungsumgebung zwischengespeichert oder gespeichert werden, z. B. auf einem virtuellen Computer. In der Tabelle Datenverschlüsselungsmodelle können Sie Optionen für die Verschlüsselung im Ruhezustand untersuchen, die für die verwendeten Speicher- und Anwendungsplattformen zur Verfügung stehen.
Verschlüsselung ruhender Daten für IaaS-Kunden
Kunden im Bereich Infrastructure as a Service (IaaS) können eine Vielzahl von Diensten und Anwendungen nutzen. IaaS-Dienste können Verschlüsselung in Ruhe in ihren Azure-gehosteten virtuellen Maschinen durch Verschlüsselung am Host ermöglichen.
Speicher (verschlüsselt)
Wie bei PaaS, können IaaS-Lösungen andere Azure-Dienste verwenden, die ruhende Daten verschlüsselt speichern. In diesen Fällen können Sie die Unterstützung für die Verschlüsselung ruhender Daten aktivieren, die jeder genutzte Azure-Dienst bietet. Datenverschlüsselungsmodelle listen die wichtigsten Speicher-, Dienste- und Anwendungsplattformen sowie das unterstützte Modell der ruhenden Verschlüsselung auf.
Verschlüsseltes Rechnen
Azure verwaltete Festplatten, Snapshots und Images werden standardmäßig durch Storage Service Encryption und plattformverwaltete Schlüssel verschlüsselt. Diese Standardverschlüsselung erfordert keine Kundenkonfiguration oder zusätzliche Kosten. Eine umfassendere Verschlüsselungslösung stellt sicher, dass der VM-Host die Daten nicht unverschlüsselt speichert. Während der Verarbeitung von Daten auf einer virtuellen Maschine kann das System Daten in der Windows-Auslagerungsdatei oder der Linux-Swapdatei, in einem Speicherabbild oder in einem Anwendungsprotokoll speichern. Um sicherzustellen, dass diese Daten auch im Ruhezustand verschlüsselt werden, können IaaS-Anwendungen die Verschlüsselung am Host auf einer Azure IaaS-virtuellen Maschine verwenden. Standardmäßig verwendet die Verschlüsselung am Host plattformverwaltete Schlüssel, aber Sie können optional kundenverwaltete Schlüssel für zusätzliche Kontrolle konfigurieren.
Kundenspezifische Verschlüsselung ruhender Daten
Wann immer möglich, sollten IaaS-Anwendungen die von genutzten Azure-Diensten bereitgestellten Optionen für Hostverschlüsselung und Verschlüsselung ruhender Daten verwenden. In einigen Fällen, wie etwa bei unregelmäßigen Verschlüsselungsanforderungen oder nicht-Azure-basiertem Speicher, muss ein Entwickler einer IaaS-Anwendung die Verschlüsselung im Ruhezustand implementieren. Entwickler von IaaS-Lösungen können mithilfe bestimmter Azure-Komponenten besser in die Azure-Verwaltung und kundenerwartungen integriert werden. Insbesondere sollten Entwickler Azure Key Vault nutzen, um sichere Schlüsselspeicherung bereitzustellen und ihren Kunden Schlüsselverwaltungsoptionen anzubieten, die mit den Diensten der Azure-Plattform konsistent sind. Benutzerdefinierte Lösungen sollten außerdem Azure verwaltete Identitäten verwenden, um Servicekonten den Zugriff auf Verschlüsselungsschlüssel zu ermöglichen. Für Entwicklerinformationen siehe Azure Key Vault Entwicklerleitfaden und verwaltete Identitäten für Azure-Ressourcen.
Azure-Verschlüsselungsmodellunterstützung für Ressourcenanbieter
Microsoft Azure-Dienste unterstützen jeweils ein oder mehrere der Verschlüsselungsmodelle im Ruhemodus. Für einige Dienste gilt jedoch möglicherweise nicht eines oder mehrere der Verschlüsselungsmodelle. Dienste, die kundenverwaltete Schlüsselszenarien unterstützen, unterstützen möglicherweise nur eine Teilmenge der Schlüsseltypen, die Azure Key Vault für Schlüsselverschlüsselungsschlüssel unterstützt. Dienste könnten auch Unterstützung für diese Szenarien und Schlüsseltypen zu unterschiedlichen Zeitplänen veröffentlichen. Dieser Abschnitt beschreibt die aktuelle Unterstützung für ruhende Verschlüsselung für jeden wichtigen Azure-Datenspeicherdienst.
Azure VM-Datenträgerverschlüsselung
Kunden, die Azure Infrastructure as a Service (IaaS)-Funktionen nutzen, können ihre IaaS-VM-Festplatten ruhend durch Verschlüsselung am Host verschlüsseln. Weitere Informationen finden Sie unter Verschlüsselung am Host – End-to-End-Verschlüsselung für Ihre VM.
Azure Storage
Alle Azure Storage-Dienste (Blob Storage, Queue Storage, Table Storage und Azure Files) unterstützen serverseitige Verschlüsselung im Ruhestand. Blob Storage und Queue Storage unterstützen ebenfalls aktuelle clientseitige Verschlüsselung.
- Serverseitig (Standard): Alle Azure Storage-Dienste aktivieren automatisch die serverseitige Verschlüsselung standardmäßig mithilfe plattformverwalteter Schlüssel. Diese Verschlüsselung ist für die Anwendung transparent und erfordert keine Konfiguration. Weitere Informationen finden Sie unter Azure Storage-Verschlüsselung für ruhende Daten. Kunden können optional auswählen, ob kundenverwaltete Schlüssel in Azure Key Vault für zusätzliche Kontrolle verwendet werden sollen. Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel für die Verschlüsselung von Azure Storage.
- Client-seitig (optional): Blob Storage und Queue Storage Client-Bibliotheken unterstützen clientseitige Verschlüsselung für Kunden, die Daten verschlüsseln müssen, bevor sie Azure erreichen. Bei der Verwendung clientseitiger Verschlüsselung verschlüsseln Kunden die Daten und laden sie als verschlüsselte Daten hoch. Der Kunde verwaltet die Schlüssel. Weitere Informationen finden Sie unter Client-seitige Verschlüsselung für Blobs und Client-seitige Verschlüsselung für Warteschlangen.
Azure SQL-Datenbank
Azure SQL-Datenbank unterstützt die Verschlüsselung ruhender Daten für die dienstseitige Verschlüsselung mit plattformverwalteten Schlüsseln und für clientseitige Verschlüsselungsszenarien.
Azure SQL bietet serverseitige Verschlüsselung durch Transparent Data Encryption. Für service-managed TDE erstellt und verwaltet Azure die Schlüssel automatisch. Sie können die ruhende Verschlüsselung auf Datenbank- und Serverebene aktivieren. Transparent Data Encryption (TDE) ist standardmäßig auf neu erstellten Datenbanken aktiviert. Azure SQL unterstützt asymmetrische RSA- oder RSA-HSM 2048-Bit- und 3072-Bit-kundenverwaltete TDE-Schutzsysteme in Azure Key Vault oder Azure Key Vault Managed HSM. Weitere Informationen finden Sie unter transparenter Azure SQL-Datenverschlüsselung mit vom Kunden verwaltetem Schlüssel.
Azure SQL-Datenbank unterstützt clientseitige Verschlüsselung durch die Funktion Always Encryption. Always Encrypted verwendet einen Schlüssel, den der Client erstellt und speichert. Kunden können den Hauptschlüssel in einem Windows-Zertifikatsspeicher, Azure Key Vault oder einem lokalen HSM speichern. SQL-Nutzer können SQL Server Management Studio nutzen, um den Schlüssel auszuwählen, der jede Spalte verschlüsselt.
Zusammenfassung
Der Schutz von Kundendaten, die in Azure-Diensten gespeichert sind, ist für Microsoft wichtig. Azure-gehostete Dienste bieten Optionen zur Verschlüsselung im Ruhemodus. Azure-Dienste unterstützen plattformverwaltete Schlüssel, kundenverwaltete Schlüssel oder clientseitige Verschlüsselung. Azure-Dienste verbessern weiterhin die Verschlüsselung im Ruhemodus.
Nächste Schritte
- Weitere Informationen zu plattformverwalteten Schlüsseln und vom Kunden verwalteten Schlüsseln finden Sie in den Datenverschlüsselungsmodellen .
- Erfahren Sie, wie Azure doppelte Verschlüsselung verwendet, um Bedrohungen zu minimieren, die mit verschlüsselten Daten enthalten sind.
- Erfahren Sie, was Microsoft tut, um sicherzustellen, dass die Plattformintegrität und Sicherheit von Hosts durch die Hardware- und Firmware-Aufbau-, Integrations-, Operationalisierungs- und Reparaturpipelines verläuft.