Doppelte Verschlüsselung
Bei der doppelten Verschlüsselung werden zwei oder mehr unabhängige Verschlüsselungsebenen aktiviert, um vor der Kompromittierung einer der Verschlüsselungsebenen zu schützen. Durch die Verwendung von zwei Verschlüsselungsebenen werden Bedrohungen verringert, die sich beim Verschlüsseln von Daten ergeben. Beispiel:
- Konfigurationsfehler bei der Datenverschlüsselung
- Implementierungsfehler im Verschlüsselungsalgorithmus
- Kompromittierung eines einzelnen Verschlüsselungsschlüssels
Azure bietet doppelte Verschlüsselung für ruhende Daten und Daten während der Übertragung.
Ruhende Daten
Der Ansatz von Microsoft zum Aktivieren zweier Verschlüsselungsebenen für ruhende Daten ist:
- Verschlüsselung im Ruhezustand mit vom Kunden verwalteten Schlüsseln. Sie stellen Ihren eigenen Schlüssel für die Verschlüsselung der Daten im Ruhezustand bereit. Sie können Ihre eigenen Schlüssel in Ihren Key Vault mitbringen (BYOK: Bring Your Own Key) oder neue Schlüssel in Azure Key Vault generieren, um die gewünschten Ressourcen zu verschlüsseln.
- Infrastrukturverschlüsselung mithilfe plattformseitig verwalteter Schlüssel. Standardmäßig werden die Daten im Ruhezustand automatisch mit von der Plattform verwalteten Verschlüsselungsschlüsseln verschlüsselt.
Daten während der Übertragung
Der Ansatz von Microsoft zum Aktivieren zweier Verschlüsselungsebenen für Daten während der Übertragung ist:
- Übertragungsverschlüsselung mithilfe von TLS 1.2 (Transport Layer Security) zum Schutz von Daten bei ihrer Übertragung zwischen den Clouddiensten und Ihnen. Der gesamte Datenverkehr, der ein Rechenzentrum verlässt, wird während der Übertragung verschlüsselt, auch wenn das Ziel des Datenverkehrs ein anderer Domänencontroller in derselben Region ist. TLS 1.2 ist das Standardsicherheitsprotokoll, das verwendet wird. TLS bietet strenge Authentifizierung, Datenschutz von Nachrichten und Integrität (ermöglicht die Erkennung von Manipulation, Abfangen und Fälschung von Nachrichten), Interoperabilität, Algorithmusflexibilität sowie einfache Bereitstellung und Verwendung.
- Zusätzliche Verschlüsselungsebene, die auf der Infrastrukturebene bereitgestellt wird. Immer wenn Datenverkehr von Azure-Kund*innen zwischen Rechenzentren fließt (außerhalb von physischen Grenzen, die nicht von Microsoft (oder im Auftrag von Microsoft) kontrolliert werden), wird eine Verschlüsselungsmethode für die Sicherungsschicht mit dem Standard IEEE 802.1AE MAC Security (auch MACsec genannt) von Punkt zu Punkt auf der zugrunde liegenden Netzwerkhardware angewendet. Die Pakete werden auf den Geräten vor dem Senden verschlüsselt und entschlüsselt. Dadurch werden physische Man-in-the-Middle-Angriffe und Spionage-/Abhörangriffe verhindert. Da diese Technologie in die Netzwerkhardware selbst integriert ist, bietet sie Verschlüsselung auf der Netzwerkhardware mit der Leitungsrate ohne eine messbar höhere Verbindungslatenz. Diese MACsec-Verschlüsselung ist standardmäßig für den gesamten Azure-Datenverkehr aktiviert, der innerhalb einer Region oder zwischen Regionen fließt, und der Kunde muss keine Aktion zum Aktivieren ausführen.
Nächste Schritte
Erfahren Sie, wie Verschlüsselung in Azure verwendet wird.