Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel beschreibt, wie Microsoft Azure Verschlüsselung verwendet. Sie deckt wichtige Verschlüsselungsbereiche ab, darunter Verschlüsselung in Ruhe, Verschlüsselung während Transit und Schlüsselverwaltung mit Azure Key Vault.
Verschlüsselung im Ruhezustand
Ruhedaten umfassen Informationen, die dauerhaft auf physischen Medien in jedem digitalen Format gespeichert sind. Azure bietet viele Datenspeicherlösungen an, darunter Datei-, Festplatten-, Blob- und Tabellenspeicher. Azure bietet außerdem Verschlüsselung zum Schutz von Azure SQL-Datenbank, Azure Cosmos DB und Azure Data Lake Storage.
Sie können AES-256-Verschlüsselung verwenden, um ruhende Daten für Dienste über die Cloud-Modelle Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) zu schützen.
Für weitere Informationen darüber, wie Azure ruhende Daten verschlüsselt, siehe Datenverschlüsselung in Ruhe.
Azure-Verschlüsselungsmodelle
Azure unterstützt verschiedene Verschlüsselungsmodelle, darunter die serverseitige Verschlüsselung unter Verwendung dienstverwalteter Schlüssel, unter Verwendung kundenverwalteter Schlüssel in Key Vault oder unter Verwendung kundenverwalteter Schlüssel auf vom Kunden gesteuerter Hardware. Mithilfe der clientseitigen Verschlüsselung können Sie Schlüssel lokal oder an einem anderen sicheren Ort verwalten und speichern.
Clientseitige Verschlüsselung
Sie führen clientseitige Verschlüsselung außerhalb von Azure aus. Dazu gehören:
- Daten, die von einer Anwendung verschlüsselt werden, die in Ihrem Rechenzentrum läuft, oder von einer Service-Anwendung.
- Daten, die bereits verschlüsselt sind, wenn Azure sie empfängt.
Durch die Verwendung clientseitiger Verschlüsselung haben Cloud-Dienstanbieter keinen Zugriff auf die Verschlüsselungsschlüssel und können die Daten nicht entschlüsseln. Sie behalten die vollständige Kontrolle über die Schlüssel.
Serverseitige Verschlüsselung
Die drei serverseitigen Verschlüsselungsmodelle bieten unterschiedliche Schlüsselverwaltungsmerkmale:
- Dienstverwaltete Schlüssel: Bietet eine Kombination aus Steuerung und Komfort mit geringem Mehraufwand.
- Kundenverwaltete Schlüssel: Gibt Ihnen die Kontrolle über die Schlüssel, einschließlich Bring Your Own Key (BYOK)-Unterstützung, oder ermöglicht die Erstellung neuer Schlüssel.
- Serviceverwaltete Schlüssel in kundenkontrollierter Hardware: Ermöglicht es Ihnen, Schlüssel in Ihrem proprietären Repository außerhalb der Kontrolle von Microsoft zu verwalten. Dieses Modell wird auch Host Your Own Key (HYOK) genannt.
Azure-Datenträgerverschlüsselung
Von Bedeutung
Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.
Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer, oder ziehen Sie vertrauliche VM-Größen mit Betriebssystemdatenträgerverschlüsselung für vertrauliche Computerarbeitslasten in Betracht. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .
Azure verschlüsselt standardmäßig alle verwalteten Festplatten, Snapshots und Images durch die Verwendung von Storage Service Encryption mit einem service-managed Key. Für virtuelle Maschinen bietet die Verschlüsselung am Host eine End-to-End-Verschlüsselung für Ihre VM-Daten, einschließlich temporärer Festplatten sowie Betriebssystem- und Datendisk-Caches. Azure bietet auch Optionen zum Verwalten von Schlüsseln im Azure Key Vault. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.
Azure Storage-Verschlüsselung
Sie können ruhende Daten in Azure Blob Storage und Azure-Dateifreigaben sowohl für serverseitige als auch für clientseitige Szenarien verschlüsseln.
Die Verschlüsselung von Azure Storage verschlüsselt die Daten automatisch vor der Speicherung und entschlüsselt die Daten, wenn Sie sie abrufen. Azure Storage-Verschlüsselung verwendet 256-Bit-AES-Verschlüsselung, eine starke Blockchiffre.
Azure SQL-Datenbankverschlüsselung
Azure SQL-Datenbank ist ein allgemeiner relationaler Datenbankdienst, der Strukturen wie relationale Daten, JSON, räumliche und XML unterstützt. SQL-Datenbank unterstützt sowohl die serverseitige Verschlüsselung über das Feature "Transparente Datenverschlüsselung(TDE)" als auch die clientseitige Verschlüsselung über das Feature "Immer verschlüsselt".
Transparente Datenverschlüsselung
Transparent Data Encryption (TDE) verschlüsselt Datendateien von SQL Server, Azure SQL-Datenbank und Azure Synapse Analytics in Echtzeit mithilfe eines Datenbankverschlüsselungsschlüssels (DEK). TDE ist standardmäßig für neu erstellte Azure SQL-Datenbanken aktiviert.
Immer Verschlüsselt
Die Funktion Always Encrypted in Azure SQL hilft Ihnen, Daten innerhalb von Client-Anwendungen zu verschlüsseln, bevor Sie sie in der Azure SQL-Datenbank speichern. Sie können die Delegierung der Verwaltung lokaler Datenbanken an Dritte aktivieren und dabei die Trennung zwischen denjenigen, die die Daten besitzen und anzeigen können, und denjenigen, die sie verwalten, aufrechterhalten.
Verschlüsselung auf Zellen- oder Spaltenebene
Mit Azure SQL-Datenbank können Sie mithilfe von Transact-SQL eine symmetrische Verschlüsselung auf eine Datenspalte anwenden. Dieser Ansatz wird Zellebenenverschlüsselung oder Spaltenebenenverschlüsselung (CLE) genannt. Man kann damit bestimmte Spalten oder Zellen mit unterschiedlichen Verschlüsselungsschlüsseln verschlüsseln, was eine detailliertere Verschlüsselung bietet als TDE.
Azure Cosmos DB-Datenbankverschlüsselung
Azure Cosmos DB ist eine global verteilte, multimodellbasierte Datenbank. Azure Cosmos DB verschlüsselt standardmäßig Benutzerdaten, die in nichtflüchtigen Speichermedien wie Solid-State-Laufwerken gespeichert sind, mithilfe von Service-Managed Keys. Sie können eine zweite Verschlüsselungsebene mit Ihren eigenen Schlüsseln hinzufügen, indem Sie das Feature für vom Kunden verwaltete Schlüssel (CMK) verwenden.
Verschlüsselung ruhender Daten in Azure Data Lake Storage
Azure Data Lake Storage ist eine cloudbasierte Enterprise Data Lake-Lösung, die auf Azure Storage basiert. Azure Data Lake Storage verschlüsselt alle Ruhedaten entweder mit von Microsoft verwalteten Schlüsseln oder kundenverwalteten Schlüsseln. Weitere Informationen finden Sie unter Azure Storage-Verschlüsselung für ruhende Daten.
Verschlüsselung während der Übertragung
Azure bietet viele Mechanismen, um Daten privat zu halten, während sie von einem Ort zum anderen übertragen werden.
Datenverknüpfungsebenenverschlüsselung
Wann immer Azure-Kundenverkehr zwischen Rechenzentren über Verbindungen außerhalb der von Microsoft kontrollierten physischen Grenzen bewegt wird, wendet Azure eine Verschlüsselungsmethode der Datenverbindungsschicht an, indem es die IEEE 802.1AE MAC Security Standards, auch bekannt als MACsec, verwendet. Die zugrunde liegende Netzwerkhardware verschlüsselt Pakete, bevor sie gesendet werden, was hilft, physische Person-in-the-Middle-, Spionage- oder Abhörangriffe zu verhindern. MACsec-Verschlüsselung ist standardmäßig für allen Azure-Datenverkehr innerhalb einer Region oder zwischen Regionen aktiviert.
TLS-Verschlüsselung
Kunden können Transport Layer Security (TLS) nutzen, um Daten zu schützen, während sie zwischen Azure-Diensten und Kundensystemen übertragen werden. Microsoft-Rechenzentren handeln TLS-Verbindungen mit Clientsystemen aus, die eine Verbindung mit Azure-Diensten herstellen. TLS bietet eine sichere Authentifizierung, Nachrichtendatenschutz und Integrität.
Von Bedeutung
Azure wechselt zu TLS 1.2 oder höher für alle Verbindungen mit Azure-Diensten. Die meisten Azure-Dienste haben diesen Übergang bis zum 31. August 2025 abgeschlossen. Stellen Sie sicher, dass Ihre Anwendungen TLS 1.2 oder höher verwenden.
Perfect Forward Secrecy (PFS) schützt Verbindungen zwischen den Client-Systemen der Kunden und Microsoft-Cloud-Diensten, indem für jede Verbindung eindeutige Schlüssel verwendet werden. Verbindungen unterstützen RSA-basierte 2.048-Bit-Schlüssellängen, ECC 256-Bit-Schlüssellängen, SHA-384-Nachrichtenauthentifizierung und AES-256-Datenverschlüsselung.
Transaktionen in Azure Storage
Wenn Sie mit Azure Storage über das Azure-Portal interagieren, erfolgen alle Transaktionen über HTTPS. Für die Interaktion mit Azure Storage können Sie auch die Storage-REST-API über HTTPS verwenden. Sie können die Verwendung von HTTPS erzwingen, wenn Sie die REST-APIs aufrufen, indem Sie die Anforderung für die sichere Übertragung für das Speicherkonto aktivieren.
Shared Access Signatures (SAS), mit denen Sie Zugriff auf Azure Storage-Objekte delegieren können, enthalten eine Option, anzugeben, dass nur das HTTPS-Protokoll verwendet werden darf.
SMB-Verschlüsselung
Azure Files SMB-Shares unterstützen SMB-Kanalverschlüsselung, einschließlich AES-256-GCM, AES-128-GCM und AES-128-CCM. Verwenden Sie aktuelle SMB 3.x-Clients, um sicher auf Azure-Dateifreigaben in verschiedenen Regionen und von unterstützten Desktop-Betriebssystemen zuzugreifen.
VPN-Verschlüsselung
Sie können eine Verbindung mit Azure über ein virtuelles privates Netzwerk herstellen, das einen sicheren Tunnel erstellt, um den Datenschutz der daten zu schützen, die über das Netzwerk gesendet werden.
Azure-VPN-Gateways
Das Azure VPN-Gateway sendet verschlüsselten Datenverkehr zwischen Ihrem virtuellen Netzwerk und Ihrem lokalen Standort über eine öffentliche Verbindung oder zwischen virtuellen Netzwerken. Standort-zu-Standort-VPNs verwenden IPsec für die Transportverschlüsselung.
Point-to-Site-VPN-Verbindungen
Point-to-Site-VPNs ermöglichen es einzelnen Client-Computern, auf ein virtuelles Azure-Netzwerk zuzugreifen. Point-to-Site-VPN kann je nach Client und Authentifizierungskonfiguration OpenVPN, Secure Socket Tunneling Protocol (SSTP) oder IKEv2 verwenden. Weitere Informationen finden Sie unter Über Point-to-Site VPN.
Site-to-Site-VPN-Verbindungen
Eine Standort-zu-Standort-VPN-Gatewayverbindung verbindet Ihr lokales Netzwerk mit einem virtuellen Azure-Netzwerk über einen IPsec/IKE VPN-Tunnel. Weitere Informationen finden Sie unter Erstellen einer Standort-zu-Standort-Verbindung.
Schlüsselverwaltung mit Key Vault
Die Verschlüsselung hängt von einem ordnungsgemäßen Schlüsselschutz und -management ab. Azure bietet mehrere Schlüsselverwaltungslösungen, darunter Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM und Azure Payment HSM.
Key Vault entfernt die Notwendigkeit, Hardwaresicherheitsmodule (HARDWARE Security Modules, HSMs) und Schlüsselverwaltungssoftware zu konfigurieren, zu patchen und zu verwalten. Durch die Nutzung von Key Vault behalten Sie die Kontrolle – Anwendungen haben keinen direkten Zugriff auf Ihre Schlüssel. Sie können zudem Schlüssel in HSMs importieren oder generieren. Für die stärksten Garantien zur Schlüsselisolation bietet Azure Key Vault Managed HSM eine kundeneigene Sicherheitsdomäne, in der Microsoft keinen Zugriff auf Ihr Schlüsselmaterial hat.
Weitere Informationen zur Schlüsselverwaltung in Azure finden Sie unter Schlüsselverwaltung in Azure.