Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden bewährte Methoden für die Datensicherheit und -verschlüsselung beschrieben.
Die bewährten Methoden basieren auf einer gemeinsamen Linie und eignen sich für aktuelle Funktionen und Features der Azure-Plattform. Meinungen und Technologien ändern sich im Laufe der Zeit. Dieser Artikel wird daher regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.
Schützen von Daten
Zum Schutz von Daten in der Cloud müssen Sie die möglichen Zustände berücksichtigen, in denen Ihre Daten auftreten können. Außerdem sollten Sie die Steuerungsmöglichkeiten beachten, die für diesen Zustand verfügbar sind. Bewährte Methoden für Datensicherheit und Verschlüsselung in Azure beziehen sich auf die folgenden Zustände von Daten:
- Ruhende Daten: Dies umfasst alle Informationsspeicherobjekte, Container und Typen, die statisch auf physischen Medien existieren – ob auf Magnetspeichern oder optischen Datenträgern.
- Daten während der Übertragung: Wenn Daten zwischen Komponenten, Speicherorten oder Programmen übertragen werden, weisen sie den Zustand „während der Übertragung“ auf. Beispiele sind die Übertragung über das Netzwerk, über einen Service Bus (von dem lokalen Computer in die Cloud und umgekehrt, inklusive Hybridverbindungen wie ExpressRoute) oder während eines Eingabe-/Ausgabevorgangs.
- In Verwendung: Wenn Daten verarbeitet werden, halten die spezialisierten AMD- und Intel-Chipsatz-basierten Confidential Compute VMs die Daten im Speicher verschlüsselt, indem sie hardwareverwaltete Schlüssel verwenden.
Auswählen einer Schlüsselverwaltungslösung
Das Schützen Ihrer Schlüssel ist ausschlaggebend für den Schutz Ihrer Daten in der Cloud.
Azure bietet mehrere verschiedene Dienste zum Schutz Ihrer kryptografischen Schlüssel mithilfe von HSMs. Diese Angebote bieten Cloudskalierbarkeit und -verfügbarkeit, während Sie die vollständige Kontrolle über Ihre Schlüssel erhalten. Weitere Informationen und Anleitungen zur Auswahl dieser Schlüsselverwaltungsangebote finden Sie unter " Auswählen der richtigen Azure Key Management Solution". Azure Key Vault Premium oder Azure Key Vault Managed HSM werden für die Verwaltung Ihrer Verschlüsselung bei Ruheschlüsseln empfohlen.
Verwalten mit sicheren Arbeitsstationen
Hinweis
Der Abonnementadministrator oder -besitzer sollte eine Arbeitsstation mit sicherem Zugriff oder eine Arbeitsstation mit privilegiertem Zugriff verwenden.
Da die große Mehrzahl der Angriffe auf den Endbenutzer zielt, ist der Endpunkt einer der Hauptangriffspunkte. Ein Angreifer, der den Endpunkt zum Ziel hat, kann die Anmeldeinformationen des Benutzers verwenden, um Zugriff auf die Daten der Organisation zu erhalten. Die meisten Angriffe auf Endpunkte können sich zunutze machen, dass Benutzer Administratoren ihrer lokalen Arbeitsstationen sind.
Bewährte Methode: Verwenden Sie eine sichere Verwaltungsarbeitsstation, um sensible Konten, Aufgaben und Daten zu schützen. Detail: Verwenden Sie eine Arbeitsstation mit privilegiertem Zugriff, um die Angriffsfläche bei Arbeitsstationen zu reduzieren. Diese sicheren Verwaltungsarbeitsstationen helfen Ihnen, einige dieser Angriffe zu minimieren und damit Ihre Daten sicherer zu machen.
Bewährte Methode: Sorgen Sie für Endpunktsicherheit. Detail: Erzwingen Sie die Einhaltung der Sicherheitsrichtlinien auf allen Geräten, die die Daten verwenden, unabhängig vom Speicherort der Daten (in der Cloud oder lokal).
Schutz gespeicherter Daten
Die Verschlüsselung ruhender Daten ist eine obligatorische Maßnahme für Datenschutz, Compliance und Datenhoheit.
Bewährte Methode: Anwenden von Verschlüsselung auf Host, um Ihre Daten zu schützen. Detail: Verwenden Sie Verschlüsselung auf host - End-to-End-Verschlüsselung für Ihre VM. Die Verschlüsselung auf Host ist eine Option für virtuelle Maschinen, die die Azure Disk Storage Server-Side Encryption verbessert, um sicherzustellen, dass alle temporären Datenträger und Datenträger-Cache im Ruhezustand verschlüsselt sind und verschlüsselt zu den Speicherclustern fließen.
Die meisten Azure-Dienste, z. B. Azure Storage und Azure SQL-Datenbank, verschlüsseln standardmäßig ruhende Daten. Mithilfe von Azure Key Vault können Sie die Kontrolle über Schlüssel für den Zugriff und das Verschlüsseln Ihrer Daten behalten. Weitere Informationen finden Sie unter Unterstützung für Verschlüsselungsmodelle von Azure-Ressourcenanbietern.
Bewährte Methoden: Verwenden Sie die Verschlüsselung, um das Risiko unberechtigter Datenzugriffe zu reduzieren. Detail: Verschlüsseln Sie die Verschlüsselung für Ihre Dienste, bevor Sie vertrauliche Daten in diese schreiben.
Organisationen, die keine Datenverschlüsselung erzwingen, sind anfälliger für Datenintegritätsprobleme. Unternehmen müssen außerdem nachweisen, dass sie gewissenhaft sind und die richtigen Sicherheitsprotokolle zur Verbesserung ihrer Datensicherheit verwenden, um den Branchenbestimmungen zu entsprechen.
Schützen der Daten während der Übertragung
Der Schutz von Daten während der Übertragung sollte ein wesentlicher Bestandteil Ihrer Datenschutzstrategie sein. Da die Daten zwischen vielen verschiedenen Speicherorten übertragen werden, wird generell empfohlen, immer SSL/TLS-Protokolle zu verwenden, um Daten zwischen verschiedenen Speicherorten auszutauschen. In einigen Fällen sollten Sie den gesamten Kommunikationskanal zwischen Ihrer lokalen und Ihrer Cloudinfrastruktur isolieren, indem Sie ein VPN verwenden.
Für Daten, die sich zwischen Ihrer lokalen Infrastruktur und Azure bewegen, sollten Sie passende Sicherheitsmaßnahmen in Betracht ziehen, beispielsweise HTTPS oder VPN. Beim Senden von verschlüsseltem Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet verwenden Sie Azure VPN Gateway.
Nachfolgend sind bewährte Methoden für die Sicherheit bei Verwendung von Azure VPN Gateway, SSL/TLS und HTTPS aufgeführt.
Bewährte Methode: Sichern Sie den Zugriff von mehreren lokalen Arbeitsstationen auf ein virtuelles Azure-Netzwerk. Detail: Verwenden Sie Site-to-Site-VPN.
Bewährte Methode: Sichern Sie den Zugriff von einer einzelnen lokalen Arbeitsstation auf ein virtuelles Azure-Netzwerk. Detail: Verwenden Sie Point-to-Site-VPN.
Bewährte Methode: Verschieben Sie größere Datasets über eine dedizierte Hochgeschwindigkeits-WAN-Verbindung. Detail: Verwenden Sie ExpressRoute. Falls Sie sich für die Verwendung von ExpressRoute entscheiden, können Sie die Daten auch auf Anwendungsebene verschlüsseln, indem Sie SSL/TLS oder andere Protokolle für zusätzlichen Schutz verwenden.
Bewährte Methode: Führen Sie die Interaktion mit Azure Storage über das Azure-Portal aus. Detail: Alle Transaktionen erfolgen über HTTPS. Für die Interaktion mit Azure Storage können Sie auch die Storage-REST-API über HTTPS verwenden.
Organisationen, die die Daten während der Übertragung nicht schützen, sind anfälliger für Man-in-the-Middle-Angriffe, Abhöraktionen und Session Hijacking. Diese Angriffe können der erste Schritt sein, sich Zugriff auf vertrauliche Daten zu verschaffen.
Schützen von Daten während der Verwendung
Weniger Vertrauen erforderlich Das Ausführen von Workloads in der Cloud erfordert Vertrauen. Sie bringen dieses Vertrauen mehreren Anbietern entgegen, um die Verwendung verschiedener Komponenten Ihrer Anwendung zu ermöglichen.
- Anbieter von App-Software: Vertrauen Sie auf Software, indem Sie sie lokal bereitstellen, Open Source verwenden oder unternehmensinterne Anwendungssoftware erstellen.
- Hardwareanbieter: Sie können Hardware vertrauen, indem Sie lokale oder interne Hardware verwenden.
- Infrastrukturanbieter: Sie können Cloudanbietern vertrauen oder Ihre eigenen lokalen Rechenzentren verwalten.
Verkleinern der Angriffsfläche Die vertrauenswürdige Rechenbasis (Trusted Computing Base, TCB) bezieht sich auf alle Hardware-, Firmware- und Softwarekomponenten eines Systems, die eine sichere Umgebung bereitstellen. Die Komponenten innerhalb der TCB werden als „kritisch“ eingestuft. Ist eine einzelne Komponente innerhalb der TCB kompromittiert, kann die Sicherheit des gesamten Systems gefährdet sein. Eine kleinere TCB bedeutet höhere Sicherheit. Es besteht eine geringere Gefahr durch verschiedene Sicherheitsrisiken, Schadsoftware, Angriffe und böswillige Personen.
Azure Confidential Computing kann Sie bei Folgendem unterstützen:
- Verhindern nicht autorisierter Zugriffe: Verwenden Sie vertrauliche Daten in der Cloud. Vertrauen Sie darauf, dass Azure den bestmöglichen Datenschutz bietet – mit wenigen bis gar keinen Änderungen im Vergleich zu aktuellen Maßnahmen.
- Einhaltung gesetzlicher Bestimmungen: Migrieren Sie zur Cloud, und behalten Sie die volle Kontrolle über Daten, um behördliche Vorschriften zum Schutz von persönlichen Informationen und IP-Adressen der Organisation zu erfüllen.
- Gewährleisten sicherer Zusammenarbeit ohne Vertrauensvorschuss: Bewältigen Sie branchenweite aufgabenbezogene Probleme, indem Sie Daten von verschiedenen Organisationen und sogar von Mitbewerbern durchforsten, um umfassende Datenanalysen zu ermöglichen und tiefgreifendere Erkenntnisse zu gewinnen.
- Isolierte Verarbeitung: Bieten Sie eine neue Reihe von Produkten an, die mittels Blindverarbeitung die Haftbarkeit für private Daten beseitigen. Benutzerdaten können nicht einmal vom Dienstanbieter abgerufen werden.
Weitere Informationen zu vertraulichem Computing.
Schützen von E-Mails, Dokumenten und vertraulichen Daten
Sie möchten E-Mails, Dokumente und vertrauliche Daten, die Sie außerhalb Ihres Unternehmens freigeben, kontrollieren und schützen. Azure Information Protection ist eine cloudbasierte Lösung, mit der eine Organisation ihre eigenen Dokumente und E-Mails klassifizieren, bezeichnen und schützen kann. Dies kann automatisch von Administratoren durchgeführt werden, die auch die Regeln und Bedingungen definieren: entweder manuell nach Benutzer oder eine Kombination, bei der Benutzer Empfehlungen erhalten.
Die Klassifizierung ist jederzeit identifizierbar, unabhängig davon, wo die Daten gespeichert oder mit wem sie geteilt werden. Die Bezeichnungen umfassen visuelle Markierungen wie Kopfzeilen, Fußzeilen oder Wasserzeichen. Metadaten werden Dateien und E-Mail-Headern als Klartext hinzugefügt. Der Klartext stellt sicher, dass andere Dienste, z.B. Lösungen zum Verhindern von Datenverlust, die Klassifizierung identifizieren und entsprechende Maßnahmen ergreifen können.
Die Schutztechnologie nutzt Azure Rights Management (Azure RMS). Diese Technologie ist in andere Microsoft-Clouddienste und Anwendungen integriert, z. B. Microsoft 365 und Microsoft Entra ID. Diese Schutztechnologie verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien. Der Schutz, der durch Azure RMS angewendet wird, verbleibt innerhalb der Dokumente und E-Mails. Der Speicherort spielt dabei keine Rolle: innerhalb oder außerhalb Ihrer Organisation, Netzwerke, Dateiserver oder Anwendungen.
Mit dieser Lösung für den Schutz von Informationen behalten Sie die Kontrolle über Ihre Daten auch dann, wenn diese für andere Personen freigegeben werden. Sie können Azure RMS auch für Ihre eigenen Branchenanwendungen und Informationsschutzlösungen von Softwareanbietern verwenden, ganz gleich ob diese Anwendungen und Lösungen lokal oder in der Cloud bereitstehen.
Wir empfehlen Folgendes:
- Stellen Sie Azure Information Protection für Ihre Organisation bereit.
- Wenden Sie Bezeichnungen entsprechend Ihrer Geschäftsanforderungen an. Verwenden Sie beispielsweise die Bezeichnung „streng vertraulich“ für alle Dokumente und E-Mails, die streng vertrauliche Daten enthalten, um diese Daten zu klassifizieren und zu schützen. Dann können nur autorisierte Benutzer mit den von Ihnen angegebenen Einschränkungen auf diese Daten zugreifen.
- Konfigurieren Sie die Verwendungsprotokollierung für Azure RMS, damit Sie überwachen können, wie Ihre Organisation den Schutzdienst verwendet.
Organisationen, die in Hinsicht auf die Datenklassifizierung und den Dateischutz Schwächen haben, sind möglicherweise anfälliger für Datenlecks oder Datenmissbrauch. Mit geeignetem Dateischutz können Sie Datenflüsse analysieren, um Einblicke in Ihre Geschäftsabläufe zu erhalten, riskante Verhalten zu erkennen und Abhilfemaßnahmen zu ergreifen, den Zugriff auf Dokumente nachzuverfolgen usw.
Nächste Schritte
Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.
Die folgenden Ressourcen enthalten allgemeinere Informationen zur Sicherheit in Azure und verwandten Microsoft-Diensten:
- Blog des Azure-Sicherheitsteams: Hier finden Sie Informationen über den aktuellen Stand der Azure-Sicherheit.
- Microsoft Security Response Center: Hier können Sie Microsoft-Sicherheitsrisiken, z.B. Probleme mit Azure, melden oder eine E-Mail an secure@microsoft.com schreiben.