Bewährte Methoden für Datensicherheit und Datenverschlüsselung in Azure

In diesem Artikel werden bewährte Methoden für die Datensicherheit und -verschlüsselung beschrieben.

Die bewährten Methoden basieren auf einer gemeinsamen Linie und eignen sich für aktuelle Funktionen und Features der Azure-Plattform. Meinungen und Technologien ändern sich im Laufe der Zeit. Dieser Artikel wird daher regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.

Schützen von Daten

Zum Schutz von Daten in der Cloud müssen Sie die möglichen Zustände berücksichtigen, in denen Ihre Daten auftreten können. Außerdem sollten Sie die Steuerungsmöglichkeiten beachten, die für diesen Zustand verfügbar sind. Bewährte Methoden für Datensicherheit und Verschlüsselung in Azure beziehen sich auf die folgenden Zustände von Daten:

• Ruhende Daten: Dies umfasst alle Informationsspeicherobjekte, Container und Typen, die statisch auf physischen Medien existieren – ob auf Magnetspeichern oder optischen Datenträgern.
• Daten während der Übertragung: Wenn Daten zwischen Komponenten, Speicherorten oder Programmen übertragen werden, weisen sie den Zustand „während der Übertragung“ auf. Beispiele sind die Übertragung über das Netzwerk, über einen Service Bus (von dem lokalen Computer in die Cloud und umgekehrt, inklusive Hybridverbindungen wie ExpressRoute) oder während eines Eingabe-/Ausgabevorgangs.
• In Verwendung: Wenn Daten verarbeitet werden, behalten die spezialisierten AMD & Intel-Chipsatz-basierten vertraulichen Compute-VMs die Im Arbeitsspeicher verschlüsselten Daten mithilfe von hardwareverwalteten Schlüsseln.

Auswählen einer Schlüsselverwaltungslösung

Das Schützen Ihrer Schlüssel ist ausschlaggebend für den Schutz Ihrer Daten in der Cloud.

Azure Key Vault unterstützt Sie dabei, kryptografische Schlüssel und Geheimnisse zu schützen, die von Cloudanwendungen und -diensten verwendet werden. Der Schlüsseltresor optimiert die Schlüsselverwaltung und ermöglicht es Ihnen, die Kontrolle über Schlüssel zu behalten, die für den Datenzugriff und die Verschlüsselung Ihrer Daten verwendet werden. Entwickler können Schlüssel für Tests und Entwicklung innerhalb von Minuten erstellen und diese später in Schlüssel für die Produktion migrieren. Sicherheitsadministratoren können nach Bedarf Berechtigungen für Schlüssel erteilen (und widerrufen).

Mit Key Vault können Sie mehrere sichere Container (sogenannte Tresore) erstellen. Diese Tresore werden von HSMs unterstützt. Tresore zentralisieren die Speicherung von Anwendungsgeheimnissen und verringern so die Gefahr, dass Sicherheitsinformationen abhandenkommen. Darüber hinaus steuern und protokollieren Schlüsseltresore auch den Zugriff auf alle darin gespeicherten Daten. Azure Key Vault kann Anforderungen und Verlängerungen von TLS-Zertifikaten (Transport Layer Security) abwickeln. Es stellt Features für eine zuverlässige Zertifikatlebenszyklus-Verwaltungslösung bereit.

Azure Key Vault ist für die Unterstützung von Anwendungsschlüsseln und -geheimnissen konzipiert. Key Vault ist jedoch nicht als Speicher für Benutzerkennwörter vorgesehen.

Nachfolgend sind bewährte Methoden für die Sicherheit bei Verwendung von Key Vault aufgeführt.

Bewährte Methode: Gewähren Sie Benutzern, Gruppen und Anwendungen Zugriff in einem bestimmten Umfang. Detail: Verwenden Sie vordefinierte Azure RBAC-Rollen. Wenn Sie beispielsweise einem Benutzer Zugriff für die Verwaltung von Key Vault-Instanzen gewähren möchten, weisen Sie ihm für einen bestimmten Bereich die vordefinierte Rolle Key Vault-Mitwirkender zu. Der Bereich wäre in diesem Fall ein Abonnement, eine Ressourcengruppe oder einfach eine bestimmte Key Vault-Instanz. Wenn die vordefinierten Rollen nicht Ihren Anforderungen entsprechen, können Sie eigene Rollen definieren.

Bewährte Methode: Steuern Sie, worauf Benutzer Zugriff haben. Detail: Der Zugriff auf eine Key Vault-Instanz wird über zwei separate Schnittstellen gesteuert: die Verwaltungsebene und die Datenebene. Die Zugriffsteuerungen für die Verwaltungs- und die Datenebene sind voneinander unabhängig.

Verwenden Sie Azure RBAC, um zu steuern, worauf Benutzer Zugriff haben. Wenn Sie also beispielsweise einer Anwendung die Verwendung von Schlüsseln in einer Key Vault-Instanz ermöglichen möchten, müssen Sie ihr lediglich mithilfe von Key Vault-Zugriffsrichtlinien Zugriffsberechtigungen für die Datenebene gewähren, da die Anwendung keinen Zugriff auf die Verwaltungsebene benötigt. Umgekehrt gilt: Wenn ein Benutzer Lesezugriff auf Tresoreigenschaften und Tags, aber keinen Zugriff auf Schlüssel, Geheimnisse oder Zertifikate haben soll, können Sie ihm mithilfe von Azure RBAC Lesezugriff gewähren, da in diesem Fall kein Datenebenenzugriff erforderlich ist.

Bewährte Methode: Speichern Sie Zertifikate in Ihrem Schlüsseltresor. Ihre Zertifikate sind sehr wertvoll. Wenn sie in die falschen Hände gelangen, kann die Sicherheit Ihrer Anwendung oder die Sicherheit Ihrer Daten gefährdet sein. Detail: Azure Resource Manager kann virtuellen Azure-Computern bei deren Bereitstellung Zertifikate, die in Azure Key Vault gespeichert sind, sicher bereitstellen. Durch Festlegung entsprechender Zugriffsrichtlinien für den Schlüsseltresor können Sie auch steuern, wer Zugriff auf das Zertifikat erhält. Ein weiterer Vorteil ist, dass Sie alle Ihre Zertifikate an einer zentralen Stelle in Azure Key Vault verwalten. Weitere Informationen finden Sie unter Bereitstellen von Zertifikaten für VMs über einen vom Kunden verwalteten Schlüsseltresor.

Bewährte Methode: Stellen Sie sicher, dass gelöschte Schlüsseltresore oder Schlüsseltresorobjekte wiederhergestellt werden können. Detail: Das Löschen von Schlüsseltresoren oder Schlüsseltresorobjekten kann unbeabsichtigt oder böswillig geschehen. Aktivieren Sie die Funktionen für vorläufiges Löschen und Bereinigungsschutz von Key Vault, insbesondere für Schlüssel, die zum Verschlüsseln ruhender Daten verwendet werden. Das Löschen dieser Schlüssel ist gleichbedeutend mit einem Datenverlust, sodass Sie bei Bedarf in der Lage sein müssen, gelöschte Tresore und Tresorobjekte wiederherzustellen. Üben Sie regelmäßig Wiederherstellungsvorgänge in Key Vault.

Hinweis

Falls ein Benutzer über Mitwirkungsberechtigungen (Azure RBAC) für eine Schlüsseltresor-Verwaltungsebene verfügt, kann er sich durch Festlegen einer Schlüsseltresor-Zugriffsrichtlinie selbst Zugriff auf die Datenebene gewähren. Es wird empfohlen, sehr genau darauf zu achten, wer als Mitwirkender Zugriff auf Ihre Key Vault-Instanzen hat, um sicherzustellen, dass nur autorisierte Benutzer auf Ihre Key Vault-Instanzen, Schlüssel, Geheimnisse und Zertifikate zugreifen und diese verwalten können.

Verwalten mit sicheren Arbeitsstationen

Hinweis

Der Abonnementadministrator oder -besitzer sollte eine Arbeitsstation mit sicherem Zugriff oder eine Arbeitsstation mit privilegiertem Zugriff verwenden.

Da die große Mehrzahl der Angriffe auf den Endbenutzer zielt, ist der Endpunkt einer der Hauptangriffspunkte. Ein Angreifer, der den Endpunkt zum Ziel hat, kann die Anmeldeinformationen des Benutzers verwenden, um Zugriff auf die Daten der Organisation zu erhalten. Die meisten Angriffe auf Endpunkte können sich zunutze machen, dass Benutzer Administratoren ihrer lokalen Arbeitsstationen sind.

Bewährte Methode: Verwenden Sie eine sichere Verwaltungsarbeitsstation, um sensible Konten, Aufgaben und Daten zu schützen. Detail: Verwenden Sie eine Arbeitsstation mit privilegiertem Zugriff, um die Angriffsfläche bei Arbeitsstationen zu reduzieren. Diese sicheren Verwaltungsarbeitsstationen helfen Ihnen, einige dieser Angriffe zu minimieren und damit Ihre Daten sicherer zu machen.

Bewährte Methode: Sorgen Sie für Endpunktsicherheit. Detail: Erzwingen Sie die Einhaltung der Sicherheitsrichtlinien auf allen Geräten, die die Daten verwenden, unabhängig vom Speicherort der Daten (in der Cloud oder lokal).

Schutz gespeicherter Daten

Die Verschlüsselung ruhender Daten ist eine obligatorische Maßnahme für Datenschutz, Compliance und Datenhoheit.

Bewährte Methode: Wenden Sie Datenträgerverschlüsselung zum Schutz Ihrer Daten an. Detail: Verwenden Sie Azure Disk Encryption für Linux-VMs oder Azure Disk Encryption für Windows-VMs. Disk Encryption kombiniert die branchenstandardmäßige Feature dm-crypt (Linus) oder Windows BitLocker, um Volumeverschlüsselung für das Betriebssystem und die Datenträger bereitzustellen.

In Azure Storage und Azure SQL-Datenbank werden ruhende Daten standardmäßig verschlüsselt, und viele Dienste bieten eine Verschlüsselung als Option an. Mithilfe von Azure Key Vault können Sie die Kontrolle über Schlüssel für den Zugriff und das Verschlüsseln Ihrer Daten behalten. Weitere Informationen finden Sie unter Unterstützung für Verschlüsselungsmodelle von Azure-Ressourcenanbietern.

Bewährte Methoden: Verwenden Sie die Verschlüsselung, um das Risiko unberechtigter Datenzugriffe zu reduzieren. Detail: Verschlüsseln Sie Ihre Laufwerke, bevor diese mit sensiblen Daten beschrieben werden.

Organisationen, die keine Datenverschlüsselung erzwingen, sind anfälliger für Datenintegritätsprobleme. So können beispielsweise nicht autorisierte Benutzer Daten aus kompromittierten Konten entwenden oder sich unberechtigt Zugang zu unverschlüsselten Daten verschaffen. Unternehmen müssen außerdem nachweisen, dass sie gewissenhaft sind und die richtigen Sicherheitsprotokolle zur Verbesserung ihrer Datensicherheit verwenden, um den Branchenbestimmungen zu entsprechen.

Schützen der Daten während der Übertragung

Der Schutz von Daten während der Übertragung sollte ein wesentlicher Bestandteil Ihrer Datenschutzstrategie sein. Da die Daten zwischen vielen verschiedenen Speicherorten übertragen werden, wird generell empfohlen, immer SSL/TLS-Protokolle zu verwenden, um Daten zwischen verschiedenen Speicherorten auszutauschen. In einigen Fällen sollten Sie den gesamten Kommunikationskanal zwischen Ihrer lokalen und Ihrer Cloudinfrastruktur isolieren, indem Sie ein VPN verwenden.

Für Daten, die sich zwischen Ihrer lokalen Infrastruktur und Azure bewegen, sollten Sie passende Sicherheitsmaßnahmen in Betracht ziehen, beispielsweise HTTPS oder VPN. Beim Senden von verschlüsseltem Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet verwenden Sie Azure VPN Gateway.

Nachfolgend sind bewährte Methoden für die Sicherheit bei Verwendung von Azure VPN Gateway, SSL/TLS und HTTPS aufgeführt.

Bewährte Methode: Sichern Sie den Zugriff von mehreren lokalen Arbeitsstationen auf ein virtuelles Azure-Netzwerk. Detail: Verwenden Sie Site-to-Site-VPN.

Bewährte Methode: Sichern Sie den Zugriff von einer einzelnen lokalen Arbeitsstation auf ein virtuelles Azure-Netzwerk. Detail: Verwenden Sie Point-to-Site-VPN.

Bewährte Methode: Verschieben Sie größere Datasets über eine dedizierte Hochgeschwindigkeits-WAN-Verbindung. Detail: Verwenden Sie ExpressRoute. Falls Sie sich für die Verwendung von ExpressRoute entscheiden, können Sie die Daten auch auf Anwendungsebene verschlüsseln, indem Sie SSL/TLS oder andere Protokolle für zusätzlichen Schutz verwenden.

Bewährte Methode: Führen Sie die Interaktion mit Azure Storage über das Azure-Portal aus. Detail: Alle Transaktionen erfolgen über HTTPS. Für die Interaktion mit Azure Storage können Sie auch die Storage-REST-API über HTTPS verwenden.

Organisationen, die die Daten während der Übertragung nicht schützen, sind anfälliger für Man-in-the-Middle-Angriffe, Abhöraktionen und Session Hijacking. Diese Angriffe können der erste Schritt sein, sich Zugriff auf vertrauliche Daten zu verschaffen.

Schützen von Daten während der Verwendung

Weniger Vertrauen erforderlich Das Ausführen von Workloads in der Cloud erfordert Vertrauen. Sie bringen dieses Vertrauen mehreren Anbietern entgegen, um die Verwendung verschiedener Komponenten Ihrer Anwendung zu ermöglichen.

• Anbieter von App-Software: Vertrauen Sie auf Software, indem Sie sie lokal bereitstellen, Open Source verwenden oder unternehmensinterne Anwendungssoftware erstellen.
• Hardwareanbieter: Sie können Hardware vertrauen, indem Sie lokale oder interne Hardware verwenden.
• Infrastrukturanbieter: Sie können Cloudanbietern vertrauen oder Ihre eigenen lokalen Rechenzentren verwalten.

Verkleinern der Angriffsfläche Die vertrauenswürdige Rechenbasis (Trusted Computing Base, TCB) bezieht sich auf alle Hardware-, Firmware- und Softwarekomponenten eines Systems, die eine sichere Umgebung bereitstellen. Die Komponenten innerhalb der TCB werden als „kritisch“ eingestuft. Ist eine einzelne Komponente innerhalb der TCB kompromittiert, kann die Sicherheit des gesamten Systems gefährdet sein. Eine kleinere TCB bedeutet höhere Sicherheit. Es besteht eine geringere Gefahr durch verschiedene Sicherheitsrisiken, Schadsoftware, Angriffe und böswillige Personen.

Azure Confidential Computing kann Sie bei Folgendem unterstützen:

• Verhindern nicht autorisierter Zugriffe: Verwenden Sie vertrauliche Daten in der Cloud. Vertrauen Sie darauf, dass Azure den bestmöglichen Datenschutz bietet – mit wenigen bis gar keinen Änderungen im Vergleich zu aktuellen Maßnahmen.
• Einhaltung gesetzlicher Bestimmungen: Migrieren Sie zur Cloud, und behalten Sie die volle Kontrolle über Daten, um behördliche Vorschriften zum Schutz von persönlichen Informationen und IP-Adressen der Organisation zu erfüllen.
• Gewährleisten sicherer Zusammenarbeit ohne Vertrauensvorschuss: Bewältigen Sie branchenweite aufgabenbezogene Probleme, indem Sie Daten von verschiedenen Organisationen und sogar von Mitbewerbern durchforsten, um umfassende Datenanalysen zu ermöglichen und tiefgreifendere Erkenntnisse zu gewinnen.
• Isolierte Verarbeitung: Bieten Sie eine neue Reihe von Produkten an, die mittels Blindverarbeitung die Haftbarkeit für private Daten beseitigen. Benutzerdaten können nicht einmal vom Dienstanbieter abgerufen werden.

Weitere Informationen zu vertraulichem Computing.

Schützen von E-Mails, Dokumenten und vertraulichen Daten

Sie möchten E-Mails, Dokumente und vertrauliche Daten, die Sie außerhalb Ihres Unternehmens freigeben, kontrollieren und schützen. Azure Information Protection ist eine cloudbasierte Lösung, mit der eine Organisation ihre eigenen Dokumente und E-Mails klassifizieren, bezeichnen und schützen kann. Dies kann automatisch von Administratoren durchgeführt werden, die auch die Regeln und Bedingungen definieren: entweder manuell nach Benutzer oder eine Kombination, bei der Benutzer Empfehlungen erhalten.

Die Klassifizierung ist jederzeit identifizierbar, unabhängig davon, wo die Daten gespeichert oder mit wem sie geteilt werden. Die Bezeichnungen umfassen visuelle Markierungen wie Kopfzeilen, Fußzeilen oder Wasserzeichen. Metadaten werden Dateien und E-Mail-Headern als Klartext hinzugefügt. Der Klartext stellt sicher, dass andere Dienste, z.B. Lösungen zum Verhindern von Datenverlust, die Klassifizierung identifizieren und entsprechende Maßnahmen ergreifen können.

Die Schutztechnologie nutzt Azure Rights Management (Azure RMS). Diese Technologie ist in andere Microsoft-Clouddienste und Anwendungen integriert, z. B. Microsoft 365 und Microsoft Entra ID. Diese Schutztechnologie verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien. Der Schutz, der durch Azure RMS angewendet wird, verbleibt innerhalb der Dokumente und E-Mails. Der Speicherort spielt dabei keine Rolle: innerhalb oder außerhalb Ihrer Organisation, Netzwerke, Dateiserver oder Anwendungen.

Mit dieser Lösung für den Schutz von Informationen behalten Sie die Kontrolle über Ihre Daten auch dann, wenn diese für andere Personen freigegeben werden. Sie können Azure RMS auch für Ihre eigenen Branchenanwendungen und Informationsschutzlösungen von Softwareanbietern verwenden, ganz gleich ob diese Anwendungen und Lösungen lokal oder in der Cloud bereitstehen.

Wir empfehlen Folgendes:

• Stellen Sie Azure Information Protection für Ihre Organisation bereit.
• Wenden Sie Bezeichnungen entsprechend Ihrer Geschäftsanforderungen an. Verwenden Sie beispielsweise die Bezeichnung „streng vertraulich“ für alle Dokumente und E-Mails, die streng vertrauliche Daten enthalten, um diese Daten zu klassifizieren und zu schützen. Dann können nur autorisierte Benutzer mit den von Ihnen angegebenen Einschränkungen auf diese Daten zugreifen.
• Konfigurieren Sie die Verwendungsprotokollierung für Azure RMS, damit Sie überwachen können, wie Ihre Organisation den Schutzdienst verwendet.

Organisationen, die in Hinsicht auf die Datenklassifizierung und den Dateischutz Schwächen haben, sind möglicherweise anfälliger für Datenlecks oder Datenmissbrauch. Mit geeignetem Dateischutz können Sie Datenflüsse analysieren, um Einblicke in Ihre Geschäftsabläufe zu erhalten, riskante Verhalten zu erkennen und Abhilfemaßnahmen zu ergreifen, den Zugriff auf Dokumente nachzuverfolgen usw.

Nächste Schritte

Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.

Die folgenden Ressourcen enthalten allgemeinere Informationen zur Sicherheit in Azure und verwandten Microsoft-Diensten:

• Blog des Azure-Sicherheitsteams: Hier finden Sie Informationen über den aktuellen Stand der Azure-Sicherheit.
• Microsoft Security Response Center: Hier können Sie Microsoft-Sicherheitsrisiken, z.B. Probleme mit Azure, melden oder eine E-Mail an secure@microsoft.com schreiben.