Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Discovery verschlüsselt ruhende Kunden- und Systemdaten mithilfe Azure Plattformverschlüsselungsfunktionen. Verschlüsselung ruhender Daten schützt gespeicherte Daten vor unbefugtem Zugriff und wird automatisch für Microsoft Discovery-Ressourcen aktiviert.
In diesem Artikel wird erläutert, welche Daten verschlüsselt sind, die verfügbaren Schlüsselverwaltungsmodelle und wann Sie möglicherweise vom Kunden verwaltete Schlüssel anstelle der standardmäßigen Microsoft verwalteten Schlüssel verwenden.
Welche Daten im Ruhezustand verschlüsselt sind
Daten, die von Microsoft Discovery beibehalten werden, werden verschlüsselt, bevor sie in den Speicher geschrieben werden. Dieser Schutz gilt automatisch und transparent für vom Kunden bereitgestellte Daten und Dienstmetadaten, die von der Plattform gespeichert werden.
Die ruhende Verschlüsselung ist standardmäßig aktiviert und erfordert keine Konfiguration, es sei denn, Sie wählen vom Kunden verwaltete Schlüssel für eine unterstützte Ressource aus.
Schlüsselverwaltungsoptionen
Microsoft Discovery unterstützt die folgenden Verwaltungsmodelle für Verschlüsselungsschlüssel:
- Microsoft verwaltete Schlüssel (Standard): Microsoft Discovery verwendet von Microsoft verwaltete Schlüssel. Die Plattform behandelt die Schlüsselgenerierung, den Speicher, den Schutz und die Drehung. Es ist keine Kundenaktion erforderlich.
- Customer-managed keys (CMK): Unterstützte Microsoft Discovery-Ressourcen können einen Schlüssel verwenden, den Sie in Azure Key Vault erstellen und verwalten. Dieses Modell bietet Ihnen mehr Kontrolle über wichtige Lebenszyklusvorgänge, wie Rotation und Widerruf.
Vom Kunden verwaltete Schlüssel werden für Bookshelf, Supercomputer und Workspace-Ressourcen unterstützt.
Von Bedeutung
Vom Kunden verwaltete Schlüssel werden beim Erstellen der Ressource konfiguriert. Nachdem die Ressource erstellt wurde, können Sie nicht zwischen Microsoft verwalteten Schlüsseln und vom Kunden verwalteten Schlüsseln für diese Ressource wechseln.
Vergleichen von Microsoft verwalteten Schlüsseln und vom Kunden verwalteten Schlüsseln
Verwenden Sie die folgende Tabelle, um den Unterschied zwischen den beiden Schlüsselverwaltungsoptionen zu verstehen.
| Schlüsselverwaltungsmodell | Vorgabe | Kundenaktion erforderlich | Unterstützter Bereich |
|---|---|---|---|
| Microsoft verwaltete Schlüssel | Ja | No | Alle Microsoft Discovery-Mandanten |
| Vom Kunden verwaltete Schlüssel | No | Ja. Sie konfigurieren Azure Key Vault, einen Verschlüsselungsschlüssel und eine verwaltete Identität. | Bücherregal-, Supercomputer- und Arbeitsplatzressourcen |
Microsoft verwalteten Schlüssel sind die richtige Wahl, wenn Sie die Verschlüsselung ohne zusätzliche Einrichtung wünschen. Vom Kunden verwaltete Schlüssel sind nützlich, wenn Ihre Organisation die direkte Kontrolle über den Verschlüsselungsschlüssel erfordert, der zum Schutz unterstützter Microsoft Discovery-Ressourcen verwendet wird.
Zugriffssteuerungen und Schlüsselisolation
Verschlüsselung im Ruhezustand arbeitet mit Identitäts- und Zugriffssteuerungen zusammen, um gespeicherte Daten zu schützen.
- Verschlüsselungsschlüssel sind für Servicebetreiber, Ingenieure oder Supportmitarbeiter nicht zugänglich.
- Der Zugriff auf verschlüsselte Daten unterliegt Microsoft Entra ID Authentifizierung, Azure rollenbasierte Zugriffssteuerung (Azure RBAC) und verwalteten Identitäten für die Dienst-zu-Dienst-Kommunikation.
- Der Entwurf folgt den Prinzipien der geringsten Rechte und Trennung von Aufgaben.
Überlegungen zur gemeinsamen Verantwortung
Verschlüsselung im Ruhezustand trägt zum Schutz gespeicherter Daten bei, verringert jedoch nicht jedes Sicherheitsrisiko. Verschlüsselung im Ruhezustand schützt z. B. nicht vor:
- Kompromittierte Anmeldeinformationen
- Falsch konfigurierte Zugriffssteuerungen
- Sicherheitsrisiken auf Anwendungsebene
Kunden bleiben für Identitätsgovernance, Zugriffssteuerung und schutz clientseitiger Daten verantwortlich, bevor sie in Microsoft Discovery aufgenommen werden.