Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bei doppelter Verschlüsselung können zwei oder mehr unabhängige Verschlüsselungsebenen vor Kompromittierungen einer beliebigen Verschlüsselungsebene geschützt werden. Die Verwendung von zwei Verschlüsselungsschichten mindert die Bedrohungen, die mit der Verschlüsselung von Daten einhergehen. Beispiel:
- Konfigurationsfehler in der Datenverschlüsselung
- Implementierungsfehler im Verschlüsselungsalgorithmus
- Kompromittierung eines einzelnen Verschlüsselungsschlüssels
Azure bietet eine doppelte Verschlüsselung für Ruhedaten und Daten während der Übertragung.
Daten im Ruhezustand
Microsofts Ansatz zur Aktivierung von zwei Verschlüsselungsebenen für ruhende Daten lautet:
- Verschlüsselung im Ruhezustand mithilfe von kundenverwalteten Schlüsseln. Sie stellen Ihren eigenen Schlüssel für die Datenverschlüsselung im Ruhezustand bereit. Sie können Ihre eigenen Schlüssel in Ihren Key Vault (BYOK – Bring Your Own Key) bringen oder neue Schlüssel in Azure Key Vault generieren, um die gewünschten Ressourcen zu verschlüsseln.
- Infrastrukturverschlüsselung mit plattformverwalteten Schlüsseln. Standardmäßig werden ruhende Daten automatisch mit plattformverwalteten Verschlüsselungsschlüsseln verschlüsselt.
Daten im Transit
Microsofts Ansatz zur Aktivierung von zwei Verschlüsselungsebenen für Daten bei der Übertragung lautet:
- Transitverschlüsselung mithilfe von TRANSPORT Layer Security (TLS) 1.2 zum Schutz von Daten, wenn sie zwischen den Clouddiensten und Ihnen unterwegs sind. Der gesamte Datenverkehr, der ein Rechenzentrum verlässt, wird während der Übertragung verschlüsselt, auch wenn es sich bei dem Datenverkehrsziel um einen anderen Domänencontroller in derselben Region handelt. TLS 1.2 ist das verwendete Standardsicherheitsprotokoll. TLS bietet strenge Authentifizierung, Datenschutz von Nachrichten und Integrität (ermöglicht die Erkennung von Manipulation, Abfangen und Fälschung von Nachrichten), Interoperabilität, Algorithmusflexibilität sowie einfache Bereitstellung und Verwendung.
- Zusätzliche Verschlüsselungsebene, die auf der Infrastrukturebene bereitgestellt wird. Immer wenn azure-Kundendatenverkehr zwischen Rechenzentren verschoben wird – außerhalb physischer Grenzen, die nicht von Microsoft oder im Auftrag von Microsoft gesteuert werden – wird eine Verschlüsselungsmethode für datenverknüpfte Layer unter Verwendung der IEEE 802.1AE MAC Security Standards (auch als MACsec bezeichnet) von Punkt zu Punkt über die zugrunde liegende Netzwerkhardware angewendet. Die Pakete werden auf den Geräten verschlüsselt und entschlüsselt, bevor sie gesendet werden, verhindern physische "Man-in-the-Middle"-Angriffe oder Snooping/Wiretapping-Angriffe. Da diese Technologie in die Netzwerkhardware selbst integriert ist, bietet sie Verschlüsselung auf der Netzwerkhardware mit der Leitungsrate ohne eine messbar höhere Verbindungslatenz. Diese MACsec-Verschlüsselung ist standardmäßig für den gesamten Azure-Datenverkehr aktiviert, der innerhalb einer Region oder zwischen Regionen fließt, und der Kunde muss keine Aktion zum Aktivieren ausführen.
Nächste Schritte
Erfahren Sie, wie verschlüsselung in Azure verwendet wird.