Übersicht über die Azure-Verschlüsselung

Dieser Artikel bietet eine Übersicht über die Verwendung der Verschlüsselung in Microsoft Azure. Er behandelt die wichtigsten Bereiche der Verschlüsselung, einschließlich Verschlüsselung ruhender Daten, Verschlüsselung in Aktion und Schlüsselverwaltung mit Azure Key Vault. Jeder Abschnitt enthält Links zu ausführlicheren Informationen.

Verschlüsselung für ruhende Daten

Ruhende Daten umfassen Informationen, die in einem beliebigen digitalen Format im dauerhaften Speicher auf physischen Medien gespeichert sind. Zu den Medien gehören Dateien auf Magnet- oder optischen Datenträgern, archivierte Daten und Datensicherungen. Microsoft Azure bietet eine Reihe von Datenspeicherlösungen für verschiedene Anforderungen, darunter Datei-, Daten-, Blob- und Tabellenspeicher. Microsoft bietet zudem eine Verschlüsselung zum Schutz von Azure SQL-Datenbank, Azure Cosmos DB und Azure Data Lake.

Die Verschlüsselung ruhender Daten ist für Dienste in allen Software-as-a-Service- (SaaS), Platform-as-a-Service- (PaaS) und Infrastructure-as-a-Service-Cloudmodellen (IaaS) verfügbar. In diesem Artikel werden Ressourcen zusammenfassend beschrieben und bereitgestellt, mit denen Sie die Verschlüsselungsoptionen von Azure nutzen können.

Eine ausführliche Erörterung zur Verschlüsselung ruhender Daten in Azure finden Sie unter Azure-Datenverschlüsselung ruhender Daten.

Azure-Verschlüsselungsmodelle

Azure unterstützt verschiedene Verschlüsselungsmodelle, darunter die serverseitige Verschlüsselung unter Verwendung dienstverwalteter Schlüssel, unter Verwendung kundenverwalteter Schlüssel in Key Vault oder unter Verwendung kundenverwalteter Schlüssel auf vom Kunden gesteuerter Hardware. Mit der clientseitigen Verschlüsselung können Sie Schlüssel lokal oder an anderen sicheren Speicherorten verwalten und speichern.

Clientseitige Verschlüsselung

Die clientseitige Verschlüsselung erfolgt außerhalb von Azure. Sie hat folgenden Inhalt:

• Daten, die über eine im Rechenzentrum des Kunden ausgeführte Anwendung oder über eine Dienstanwendung verschlüsselt werden
• Daten, die beim Empfang in Azure bereits verschlüsselt sind

Bei der clientseitigen Verschlüsselung hat der Clouddienstanbieter keinen Zugriff auf die Verschlüsselungsschlüssel und kann diese Daten nicht entschlüsseln. Sie behalten die vollständige Kontrolle über die Schlüssel.

Serverseitige Verschlüsselung

Die drei Modelle für die serverseitige Verschlüsselung bieten unterschiedliche Merkmale der Schlüsselverwaltung, die Sie je nach Ihren Anforderungen auswählen können:

• Dienstverwaltete Schlüssel: bieten eine Kombination aus Kontrolle und Benutzerfreundlichkeit mit geringem Mehraufwand

• Kundenverwaltete Schlüssel: bieten Ihnen die Kontrolle über die Schlüssel, einschließlich der Möglichkeit, die BYOK-Funktion (Bring your Own Key) zu verwenden oder neue Schlüssel zu generieren

• Dienstverwaltete Schlüssel auf vom Kunden gesteuerter Hardware: ermöglichen es Ihnen, Schlüssel in Ihrem proprietären Repository zu verwalten, das sich außerhalb des Einflussbereichs von Microsoft befindet. Dies wird als „Host Your Own Key“ (HYOK) bezeichnet. Die Konfiguration ist jedoch komplex, und die meisten Azure-Dienste unterstützen dieses Modell nicht.

Azure Disk Encryption

Sie können Ihre verwalteten Datenträger schützen, indem Sie Azure Disk Encryption für Linux-VMs verwenden, die DM-Crypt oder Azure Disk Encryption für Windows-VMs verwendet, die Windows BitLocker verwendet, um sowohl Betriebssystemdatenträger als auch Datenträger mit voller Volumeverschlüsselung zu schützen.

Verschlüsselungsschlüssel und Geheimnisse werden in Ihrem Azure Key Vault-Abonnement geschützt. Mithilfe des Azure Backup-Diensts können Sie verschlüsselte virtuelle Computer, die mit der KEK-Konfiguration (Key Encryption Key) verschlüsselt sind, sichern und wiederherstellen.

Azure Storage Service Encryption

Ruhende Daten in Azure Blob Storage und Azure-Dateifreigaben können in serverseitigen und clientseitigen Szenarien verschlüsselt werden.

Die Azure-Speicherdienstverschlüsselung (Storage Service Encryption, SSE) kann Daten automatisch verschlüsseln, bevor sie gespeichert werden, und entschlüsselt sie automatisch beim Abrufen. Der Vorgang erfolgt für Benutzer vollkommen unbemerkt. Storage Service Encryption verwendet die Advanced Encryption Standard-Verschlüsselung (AES) mit 256 Bit, die zu den stärksten verfügbaren Blockchiffren gehört. AES verarbeitet die Verschlüsselung, Entschlüsselung und Schlüsselverwaltung auf im Hintergrund.

Clientseitige Verschlüsselung von Azure-Blobs

Sie können die clientseitige Verschlüsselung von Azure-Blobs auf verschiedene Weise durchführen.

Sie können das NuGet-Paket „Azure Storage-Clientbibliothek für .NET“ verwenden, um Daten in Ihren Clientanwendungen vor dem Hochladen in Azure Storage zu verschlüsseln.

Weitere Informationen zum Verwenden und Herunterladen des NuGet-Pakets „Azure Storage-Clientbibliothek für .NET“ finden Sie unter Windows Azure Storage 8.3.0.

Bei Verwendung der clientseitigen Verschlüsselung mit Key Vault werden Ihre Daten mit einem einmaligen symmetrischen Inhaltsverschlüsselungsschlüssel (CEK, Content Encryption Key) verschlüsselt, der vom Azure Storage Client SDK generiert wird. Der CEK wird mit einem Schlüsselverschlüsselungsschlüssel (KEK, Key Encryption Key) verschlüsselt, bei dem es sich entweder um ein symmetrisches oder ein asymmetrisches Schlüsselpaar handeln kann. Sie können ihn lokal verwalten oder in Key Vault speichern. Die verschlüsselten Daten werden dann in Azure Storage hochgeladen.

Weitere Informationen zur clientseitigen Verschlüsselung mit Key Vault und den ersten Schritten mit entsprechenden Anweisungen finden Sie unter Tutorial: Verschlüsseln und Entschlüsseln von Blobs in Microsoft Azure Storage per Azure Key Vault.

Schließlich können Sie auch die Azure Storage-Clientbibliothek für Java verwenden, um die clientseitige Verschlüsselung vor dem Hochladen von Daten in Azure Storage und die Entschlüsselung der Daten beim Herunterladen auf den Client durchzuführen. Um die Schlüsselverwaltung für Speicherkonten zu ermöglichen, unterstützt diese Bibliothek zudem die Integration in Key Vault.

Verschlüsselung ruhender Daten mit Azure SQL-Datenbank

Azure SQL-Datenbank ist ein relationaler Datenbankdienst in Azure für allgemeine Zwecke, der Strukturen wie relationale Daten, JSON, räumliche Daten und XML unterstützt. SQL-Datenbank unterstützt die serverseitige Verschlüsselung über das TDE-Feature (Transparent Data Encryption) sowie die clientseitige Verschlüsselung über das Always Encrypted-Feature.

Transparente Datenverschlüsselung

TDE wird verwendet, um Datendateien aus SQL Server, Azure SQL-Datenbank und Azure Synapse Analytics in Echtzeit mit einem Datenbankverschlüsselungsschlüssel (DEK, Database Encryption Key) zu verschlüsseln, der für die Verfügbarkeit während der Wiederherstellung im Datenbank-Startdatensatz gespeichert ist.

TDE schützt die Daten- und Protokolldateien über die Verschlüsselungsalgorithmen AES und Triple Data Encryption Standard (3DES). Die Verschlüsselung der Datenbankdatei erfolgt auf Seitenebene. Die Seiten in einer verschlüsselten Datenbank werden verschlüsselt, bevor sie auf den Datenträger geschrieben werden, und entschlüsselt, bevor sie in den Arbeitsspeicher eingelesen werden. TDE ist jetzt bei neu erstellten Azure SQL-Datenbanken standardmäßig aktiviert.

Always Encrypted-Feature

Mit dem Always Encrypted-Feature in Azure SQL können Sie Daten in Clientanwendungen vor dem Speichern in Azure SQL-Datenbank verschlüsseln. Außerdem können Sie die Delegierung der lokalen Datenbankverwaltung an Drittanbieter aktivieren und die Trennung zwischen den Benutzern, die die Daten besitzen und anzeigen können, und den Benutzern, die die Daten verwalten, jedoch keinen Zugriff darauf haben sollen, aufrechterhalten.

Verschlüsselung auf Zellen- oder Spaltenebene

Mit Azure SQL-Datenbank können Sie mithilfe von Transact-SQL eine symmetrische Verschlüsselung auf eine Datenspalte anwenden. Dieser Ansatz wird als Verschlüsselung auf Zellenebene oder Verschlüsselung auf Spaltenebene (CLE) bezeichnet, da Sie bestimmte Datenspalten oder sogar bestimmte Datenzellen mit unterschiedlichen Verschlüsselungsschlüsseln verschlüsseln können. Diese Verschlüsselungsfunktion ist differenzierter als die TDE, bei der Daten in Seiten verschlüsselt werden.

CLE verfügt über integrierte Funktionen, mit denen Sie Daten über symmetrische oder asymmetrische Schlüssel, dem öffentlichen Schlüssel eines Zertifikats oder einer Passphrase über 3DES verschlüsseln können.

Azure Cosmos DB-Datenbankverschlüsselung

Azure Cosmos DB ist eine global verteilte Datenbank von Microsoft mit mehreren Modellen. Die in Azure Cosmos DB in nichtflüchtigem Speicher (Solid State Drives) gespeicherten Benutzerdaten werden standardmäßig verschlüsselt. Es sind keine Steuerelemente zum Aktivieren oder Deaktivieren vorhanden. Die Verschlüsselung ruhender Daten wird über eine Reihe von Sicherheitstechnologien implementiert, einschließlich der Speichersysteme für sichere Schlüssel, verschlüsselter Netzwerke und Kryptografie-APIs. Die Verschlüsselungsschlüssel werden von Microsoft verwaltet und entsprechend internen Microsoft-Richtlinien rotiert. Optional können Sie eine zweite Verschlüsselungsebene mit von Ihnen verwalteten Schlüsseln hinzufügen, indem Sie das Feature Kundenseitig verwaltete Schlüssel oder CMK verwenden.

Verschlüsselung ruhender Daten in Data Lake

Azure Data Lake ist ein unternehmensweites Repository für alle Arten von Daten, die vor jeglicher formalen Definition von Anforderungen oder Schemas an einer zentralen Stelle gesammelt werden. Data Lake Store unterstützt die standardmäßig aktivierte Verschlüsselung von ruhenden Daten im Hintergrund, die während der Erstellung Ihres Kontos eingerichtet wird. Standardmäßig verwaltet Azure Data Lake Store die Schlüssel, Sie haben jedoch die Möglichkeit, diese selbst zu verwalten.

Drei Arten von Schlüsseln werden beim Verschlüsseln und Entschlüsseln von Daten verwendet: Masterverschlüsselungsschlüssel (MEK, Master Encryption Key), Datenverschlüsselungsschlüssel (DEK, Data Encryption Key) und Blockverschlüsselungsschlüssel (BEK, Block Encryption Key). Der MEK wird zum Verschlüsseln des DEK verwendet, der auf persistenten Medien gespeichert wird. Der BEK wird vom DEK und dem Datenblock abgeleitet. Wenn Sie Ihre eigenen Schlüssel verwalten, können Sie den MEK rotieren.

Verschlüsselung von Daten während der Übertragung

Azure bietet viele Verfahren zum Schutz von Daten beim Übertragen zwischen verschiedenen Speicherorten.

Verschlüsselung in der Sicherungsschicht in Azure

Immer wenn Datenverkehr von Azure-Kunden zwischen Rechenzentren fließt (außerhalb von physischen Grenzen, die nicht von Microsoft (oder im Auftrag von Microsoft) kontrolliert werden), wird eine Verschlüsselungsmethode für die Sicherungsschicht mit dem Standard IEEE 802.1AE MAC Security (auch MACsec genannt) von Punkt zu Punkt auf der zugrunde liegenden Netzwerkhardware angewendet. Die Pakete werden auf den Geräten vor dem Senden verschlüsselt. Dadurch werden physische Man-in-the-Middle-Angriffe und Spionage-/Abhörangriffe verhindert. Da diese Technologie in die Netzwerkhardware selbst integriert ist, bietet sie Verschlüsselung auf der Netzwerkhardware mit der Leitungsrate ohne eine messbar höhere Verbindungslatenz. Diese MACsec-Verschlüsselung ist standardmäßig für den gesamten Azure-Datenverkehr aktiviert, der innerhalb einer Region oder zwischen Regionen fließt, und der Kunde muss keine Aktion zum Aktivieren ausführen.

TLS-Verschlüsselung in Azure

Microsoft gibt Kunden die Möglichkeit, das Transport Layer Security-Protokoll (TLS) zum Schutz von Daten bei der Übertragung zwischen den Clouddiensten und Kunden zu verwenden. Die Microsoft-Rechenzentren verhandeln eine TLS-Verbindung mit Clientsystemen, die eine Verbindung mit Azure-Diensten herstellen. TLS bietet strenge Authentifizierung, Datenschutz von Nachrichten und Integrität (ermöglicht die Erkennung von Manipulation, Abfangen und Fälschung von Nachrichten), Interoperabilität, Algorithmusflexibilität sowie einfache Bereitstellung und Verwendung.

Perfect Forward Secrecy (PFS) schützt Verbindungen zwischen den Clientsystemen von Kunden und den Clouddiensten von Microsoft durch eindeutige Schlüssel. Die Verbindungen verwenden zudem RSA-basierte Verschlüsselungsschlüssellängen von 2.048 Bit. Diese Kombination erschwert das Abfangen von Daten während der Übertragung und den Zugriff darauf.

Transaktionen in Azure Storage

Wenn Sie mit Azure Storage über das Azure-Portal interagieren, erfolgen alle Transaktionen über HTTPS. Für die Interaktion mit Azure Storage können Sie auch die Storage-REST-API über HTTPS verwenden. Sie können die Verwendung von HTTPS beim Aufruf von REST-APIs für den Zugriff auf Objekte in Speicherkonten erzwingen, indem Sie die Option „Sichere Übertragung erforderlich“ aktivieren.

Mit Shared Access Signatures (SAS), die zum Delegieren des Zugriffs auf Azure Storage-Objekte verwendet werden können, können Sie festlegen, dass bei Verwendung von Shared Access Signatures nur das HTTPS-Protokoll verwendet werden darf. Mit diesem Ansatz wird sichergestellt, dass jeder, der Links mit SAS-Token sendet, das richtige Protokoll verwendet.

SMB 3.0, das für den Zugriff auf Azure Files-Freigaben verwendet wird, unterstützt die Verschlüsselung und ist in Windows Server 2012 R2, Windows 8, Windows 8.1 und Windows 10 verfügbar. Dies macht einen regionsübergreifenden Zugriff und sogar den Zugriff auf dem Desktop möglich.

Die Daten werden mit der clientseitigen Verschlüsselung verschlüsselt, bevor sie an Ihre Azure Storage-Instanz gesendet werden, sodass sie während der Übertragung im Netzwerk verschlüsselt sind.

SMB-Verschlüsselung in virtuellen Azure-Netzwerken

Mit SMB 3.0 auf virtuellen Computern unter Windows Server 2012 oder höher haben Sie die Möglichkeit der sicheren Datenübertragung durch Verschlüsselung der Daten während der Übertragung in virtuellen Azure-Netzwerken. Durch die Datenverschlüsselung können Sie Daten vor Manipulationen und Abfangen schützen. Administratoren können die SMB-Verschlüsselung für den gesamten Server oder nur für bestimmte Freigaben aktivieren.

Nachdem die SMB-Verschlüsselung für eine Freigabe oder einen Server aktiviert wurde, können standardmäßig nur SMB 3.0-Clients auf die verschlüsselten Freigaben zugreifen.

Verschlüsselung während der Übertragung zwischen virtuellen Computern

Daten, die auf, von und zwischen virtuellen Computern unter Windows übertragen werden, können je nach Art der Verbindung auf unterschiedliche Weise verschlüsselt werden.

RDP-Sitzungen

Sie können über das Remotedesktopprotokoll (RDP) über einen Windows-Clientcomputer oder einen Macintosh-Computer mit installiertem RDP-Client eine Verbindung mit einem virtuellen Computer herstellen und sich bei diesem anmelden. Daten während der Übertragung über das Netzwerk in RDP-Sitzungen können durch TLS geschützt werden.

Sie können auch über Remotedesktop eine Verbindung mit einem virtuellen Linux-Computer in Azure herstellen.

Sicherer Zugriff auf virtuelle Linux-Computer mit SSH

Für die Remoteverwaltung können Sie Secure Shell (SSH) zum Herstellen von Verbindungen mit in Azure ausgeführten virtuellen Linux-Computern verwenden. SSH ist ein Protokoll für verschlüsselte Verbindungen, das die sichere Anmeldung über ungesicherte Verbindungen ermöglicht. Es ist das Standardverbindungsprotokoll für in Azure gehostete virtuelle Linux-Computer. Durch die Verwendung von SSH-Schlüsseln für die Authentifizierung sind keine Kennwörter für die Anmeldung erforderlich. SSH verwendet ein Schlüsselpaar aus einem öffentlichen und privaten Schlüssel (asymmetrische Verschlüsselung) für die Authentifizierung.

Azure-VPN-Verschlüsselung

Sie können die Verbindung mit Azure über ein virtuelles privates Netzwerk herstellen, das einen sicheren Tunnel zum Datenschutz der über das Netzwerk gesendeten Daten erstellt.

Azure-VPN-Gateways

Mit einem Azure-VPN-Gateway können Sie verschlüsselten Datenverkehr zwischen Ihrem virtuellen Netzwerk und Ihrem lokalen Standort über eine öffentliche Verbindung oder zwischen virtuellen Netzwerken senden.

Site-to-Site-VPN-Verbindungen verwenden IPsec für die Verschlüsselung beim Datentransport. Azure-VPN-Gateways verwenden einen Satz von Standardvorschlägen. Sie können Azure-VPN-Gateways so konfigurieren, dass anstelle der Azure-Standardrichtliniensätze eine benutzerdefinierte IPsec/IKE-Richtlinie mit bestimmten Kryptografiealgorithmen und Schlüssellängen verwendet wird.

Point-to-Site-VPN-Verbindungen

Über Point-to-Site-VPN-Verbindungen können einzelne Clientcomputer auf ein virtuelles Azure-Netzwerk zugreifen. Das Secure Socket Tunneling-Protokoll (SSTP) wird verwendet, um den VPN-Tunnel zu erstellen. Das Protokoll kann Firewalls durchlaufen (der Tunnel wird als HTTPS-Verbindung angezeigt). Sie können für Point-to-Site-Verbindungen Ihre eigene interne PKI-Stammzertifizierungsstelle (Public Key-Infrastruktur) verwenden.

Sie können eine Point-to-Site-VPN-Verbindung mit einem virtuellen Netzwerk über das Azure-Portal mit Zertifikatauthentifizierung oder über PowerShell konfigurieren.

Weitere Informationen zu Point-to-Site-VPN-Verbindungen mit virtuellen Azure-Netzwerken finden Sie in folgenden Artikeln:

Konfigurieren einer Point-to-Site-Verbindung mit einem VNET unter Verwendung der Zertifikatauthentifizierung: Azure-Portal

Konfigurieren einer Point-to-Site-Verbindung mit einem VNET unter Verwendung der Zertifikatauthentifizierung: PowerShell

Site-to-Site-VPN-Verbindungen

Sie können eine Site-to-Site-VPN-Gatewayverbindung verwenden, um Ihr lokales Netzwerk über einen IPsec/IKE-VPN-Tunnel (IKEv1 oder IKEv2) mit einem virtuellen Azure-Netzwerk zu verbinden. Für diese Art von Verbindung wird ein lokales VPN-Gerät benötigt, dem eine extern zugängliche, öffentliche IP-Adresse zugewiesen ist.

Sie können eine Site-to-Site-VPN-Verbindung mit einem virtuellen Netzwerk über das Azure-Portal, PowerShell oder die Azure-Befehlszeilenschnittstelle konfigurieren.

Weitere Informationen finden Sie unter

Erstellen einer Site-zu-Site-Verbindung im Azure-Portal

Erstellen einer Site-zu-Site-Verbindung in PowerShell

Erstellen eines virtuellen Netzwerks mit einer Site-to-Site-VPN-Verbindung per CLI

Verschlüsselung von Daten während der Übertragung in Data Lake

Auch übertragene Daten (Daten in Bewegung) werden in Data Lake Store immer verschlüsselt. Zusätzlich zur Verschlüsselung von Daten vor dem Speichern auf persistenten Medien werden Daten auch während der Übertragung immer über HTTPS geschützt. Für die Data Lake Store-REST-Schnittstellen wird ausschließlich das HTTPS-Protokoll unterstützt.

Weitere Informationen zur Verschlüsselung von Daten während der Übertragung in Data Lake finden Sie unter Datenverschlüsselung in Azure Data Lake Store.

Schlüsselverwaltung mit Key Vault

Ohne angemessenen Schutz und die richtige Verwaltung der Schlüssel ist Verschlüsselung unbrauchbar. Key Vault ist die von Microsoft empfohlene Lösung zur Verwaltung und Steuerung des Zugriffs auf die in Clouddiensten verwendeten Verschlüsselungsschlüssel. Berechtigungen für Zugriffsschlüssel können Diensten oder Benutzer*innen über Microsoft Entra-Konten zugewiesen werden.

Mit Key Vault gehören für Organisationen das Konfigurieren, Patchen und Verwalten von HSMs (Hardware Security Modules) und wichtiger Verwaltungssoftware der Vergangenheit an. Mit Key Vault behalten Sie die Kontrolle. Microsoft erhält niemals Einblick in Ihre Schlüssel, und Anwendungen haben keinen direkten Zugriff auf die Schlüssel. Sie können zudem Schlüssel in HSMs importieren oder generieren.

Nächste Schritte

• Azure-Sicherheitsübersicht
• Die Netzwerksicherheit in Azure in der Übersicht
• Übersicht über die Sicherheit der Azure-Datenbank
• Virtuelle Azure-Computer – Sicherheitsübersicht
• Datenverschlüsselung ruhender Daten
• Bewährte Methoden für Datensicherheit und Verschlüsselung