Übersicht über die Azure-Verschlüsselung

Dieser Artikel bietet eine Übersicht über die Verwendung der Verschlüsselung in Microsoft Azure. Er behandelt die wichtigsten Bereiche der Verschlüsselung, einschließlich Verschlüsselung ruhender Daten, Verschlüsselung in Aktion und Schlüsselverwaltung mit Azure Key Vault.

Verschlüsselung für ruhende Daten

Ruhende Daten umfassen Informationen, die in einem beliebigen digitalen Format im dauerhaften Speicher auf physischen Medien gespeichert sind. Microsoft Azure bietet eine Reihe von Datenspeicherlösungen für verschiedene Anforderungen, darunter Datei-, Daten-, Blob- und Tabellenspeicher. Microsoft bietet außerdem Verschlüsselung zum Schutz von Azure SQL-Datenbank, Azure Cosmos DB und Azure Data Lake.

Die Verschlüsselung ruhender Daten mit der AES 256-Verschlüsselung ist für Dienste in allen Software as a Service (SaaS), Plattform als Dienst (PaaS), und Infrastruktur als Dienst (IaaS) Cloud-Modellen verfügbar.

Eine ausführliche Erläuterung dazu, wie ruhende Daten in Azure verschlüsselt werden, finden Sie unter Azure Data Encryption-at-Rest.

Azure-Verschlüsselungsmodelle

Azure unterstützt verschiedene Verschlüsselungsmodelle, darunter die serverseitige Verschlüsselung unter Verwendung dienstverwalteter Schlüssel, unter Verwendung kundenverwalteter Schlüssel in Key Vault oder unter Verwendung kundenverwalteter Schlüssel auf vom Kunden gesteuerter Hardware. Mit der clientseitigen Verschlüsselung können Sie Schlüssel lokal oder an anderen sicheren Speicherorten verwalten und speichern.

Clientseitige Verschlüsselung

Die clientseitige Verschlüsselung erfolgt außerhalb von Azure. Sie hat folgenden Inhalt:

• Daten, die von einer Anwendung verschlüsselt werden, die im Rechenzentrum des Kunden oder von einer Dienstanwendung ausgeführt wird
• Daten, die bereits verschlüsselt sind, wenn sie von Azure empfangen werden

Bei clientseitiger Verschlüsselung haben Clouddienstanbieter keinen Zugriff auf die Verschlüsselungsschlüssel und können diese Daten nicht entschlüsseln. Sie behalten die vollständige Kontrolle über die Schlüssel.

Serverseitige Verschlüsselung

Die drei serverseitigen Verschlüsselungsmodelle bieten unterschiedliche Schlüsselverwaltungsmerkmale:

• Dienstverwaltete Schlüssel: Bietet eine Kombination aus Steuerung und Komfort mit geringem Mehraufwand
• Vom Kunden verwaltete Schlüssel: Bietet Ihnen die Kontrolle über die Schlüssel, einschließlich BYOK-Unterstützung (Bring Your Own Keys) oder ermöglicht Ihnen das Generieren neuer Schlüssel.
• Vom Dienst verwaltete Schlüssel in der vom Kunden gesteuerten Hardware: Ermöglicht es Ihnen, Schlüssel in Ihrem proprietären Repository außerhalb der Microsoft-Kontrolle (auch als Host Your Own Key oder HYOK bezeichnet) zu verwalten.

Azure-Datenträgerverschlüsselung

Von Bedeutung

Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.

Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .

Alle verwalteten Datenträger, Momentaufnahmen und Images werden mithilfe von Speicherdienstverschlüsselung mit einem vom Dienst verwalteten Schlüssel verschlüsselt. Azure bietet außerdem Optionen zum Schutz von temporären Datenträgern, Caches und Verwalten von Schlüsseln in Azure Key Vault. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.

Azure-Speicherdienstverschlüsselung

Ruhende Daten in Azure Blob Storage und Azure-Dateifreigaben können in serverseitigen und clientseitigen Szenarien verschlüsselt werden.

Azure Storage Service Encryption (SSE) kann Daten automatisch verschlüsseln, bevor sie gespeichert wird, und sie entschlüsselt die Daten automatisch, wenn Sie sie abrufen. Die Speicherdienstverschlüsselung verwendet die 256-Bit-AES-Verschlüsselung, eine der stärksten verfügbaren Blockchiffre.

Azure SQL-Datenbankverschlüsselung

Azure SQL-Datenbank ist ein allgemeiner relationaler Datenbankdienst, der Strukturen wie relationale Daten, JSON, räumliche und XML unterstützt. SQL-Datenbank unterstützt die serverseitige Verschlüsselung über das TDE-Feature (Transparent Data Encryption) sowie die clientseitige Verschlüsselung über das Always Encrypted-Feature.

Transparente Datenverschlüsselung

TDE verschlüsselt SQL Server-, Azure SQL-Datenbank- und Azure Synapse Analytics-Datendateien in Echtzeit mithilfe eines Datenbankverschlüsselungsschlüssels (DEK). TDE ist standardmäßig für neu erstellte Azure SQL-Datenbanken aktiviert.

Immer Verschlüsselt

Mit dem Feature "Immer verschlüsselt " in Azure SQL können Sie Daten in Clientanwendungen verschlüsseln, bevor Sie sie in azure SQL-Datenbank speichern. Sie können die Delegierung der vor Ort stattfindenden Datenbankverwaltung an Dritte aktivieren und die Trennung zwischen Personen, die Besitzer sind und die Daten einsehen können, und diejenigen, die sie verwalten, aufrechterhalten.

Verschlüsselung auf Zellen- oder Spaltenebene

Mit Azure SQL-Datenbank können Sie mithilfe von Transact-SQL eine symmetrische Verschlüsselung auf eine Datenspalte anwenden. Dieser Ansatz wird als Verschlüsselung auf Zellenebene oder Verschlüsselung auf Spaltenebene bezeichnet, da Sie diese verwenden können, um bestimmte Spalten oder Zellen mit unterschiedlichen Verschlüsselungsschlüsseln zu verschlüsseln, sodass Sie eine präzisere Verschlüsselungsfunktion als TDE erhalten.

Azure Cosmos DB-Datenbankverschlüsselung

Azure Cosmos DB ist die global verteilte Multimodelldatenbank von Microsoft. Benutzerdaten, die in Azure Cosmos DB in nicht veränderlichem Speicher (Festkörperlaufwerke) gespeichert sind, werden standardmäßig mit dienstverwalteten Schlüsseln verschlüsselt. Sie können eine zweite Verschlüsselungsebene mit Ihren eigenen Schlüsseln mithilfe des Features für vom Kunden verwaltete Schlüssel (CMK) hinzufügen.

Azure Data Lake-Verschlüsselung

Azure Data Lake ist ein unternehmensweites Repository von Daten. Der Data Lake Store unterstützt standardmäßig eine transparente Verschlüsselung ruhender Daten, die während der Kontoerstellung eingerichtet wird. Standardmäßig verwaltet Azure Data Lake Store die Schlüssel, Sie haben jedoch die Möglichkeit, diese selbst zu verwalten.

Verschlüsselung von Daten während der Übertragung

Azure bietet viele Verfahren zum Schutz von Daten beim Übertragen zwischen verschiedenen Speicherorten.

Datenverknüpfungsebenenverschlüsselung

Wenn azure-Kundendatenverkehr zwischen Rechenzentren verschoben wird – außerhalb physischer Grenzen, die nicht von Microsoft kontrolliert werden – wird eine Verschlüsselungsmethode für datenverknüpfte Layer unter Verwendung der IEEE 802.1AE MAC Security Standards (auch als MACsec bezeichnet) von Punkt zu Punkt auf der zugrunde liegenden Netzwerkhardware angewendet. Die Pakete werden auf den Geräten verschlüsselt, bevor sie gesendet werden, verhindern physische "Man-in-the-Middle"- oder Snooping/Wiretapping-Angriffe. Diese MACsec-Verschlüsselung ist standardmäßig für den gesamten Azure-Datenverkehr in einer Region oder zwischen Regionen aktiviert.

TLS-Verschlüsselung

Microsoft bietet Kunden die Möglichkeit, das TLS-Protokoll (Transport Layer Security) zum Schutz von Daten zu verwenden, wenn es zwischen Clouddiensten und Kunden unterwegs ist. Die Microsoft-Rechenzentren verhandeln eine TLS-Verbindung mit Clientsystemen, die eine Verbindung mit Azure-Diensten herstellen. TLS bietet eine sichere Authentifizierung, Nachrichtendatenschutz und Integrität.

Von Bedeutung

Azure wechselt zu TLS 1.2 oder höher für alle Verbindungen mit Azure-Diensten. Die meisten Azure-Dienste haben diesen Übergang bis zum 31. August 2025 abgeschlossen. Stellen Sie sicher, dass Ihre Anwendungen TLS 1.2 oder höher verwenden.

Perfect Forward Secrecy (PFS) schützt Verbindungen zwischen kundenseitigen Clientsystemen und Microsoft-Clouddiensten durch eindeutige Schlüssel. Verbindungen unterstützen RSA-basierte 2.048-Bit-Schlüssellängen, ECC 256-Bit-Schlüssellängen, SHA-384-Nachrichtenauthentifizierung und AES-256-Datenverschlüsselung.

Transaktionen in Azure Storage

Wenn Sie mit Azure Storage über das Azure-Portal interagieren, erfolgen alle Transaktionen über HTTPS. Für die Interaktion mit Azure Storage können Sie auch die Storage-REST-API über HTTPS verwenden. Sie können die Verwendung von HTTPS erzwingen, wenn Sie die REST-APIs aufrufen, indem Sie die Anforderung für die sichere Übertragung für das Speicherkonto aktivieren.

Shared Access Signatures (SAS), die zum Delegieren des Zugriffs auf Azure Storage-Objekte verwendet werden können, bieten eine Option zum Angeben, dass nur das HTTPS-Protokoll verwendet werden kann.

SMB-Verschlüsselung

SMB 3.0, der für den Zugriff auf Azure Files-Freigaben verwendet wird, die Verschlüsselung unterstützt und in Windows Server 2012 R2, Windows 8, Windows 8.1 und Windows 10 verfügbar ist. Sie ermöglicht den regionsübergreifenden Zugriff und den Zugriff auf den Desktop.

VPN-Verschlüsselung

Sie können die Verbindung mit Azure über ein virtuelles privates Netzwerk herstellen, das einen sicheren Tunnel zum Datenschutz der über das Netzwerk gesendeten Daten erstellt.

Azure-VPN-Gateways

Das Azure VPN-Gateway kann verschlüsselten Datenverkehr zwischen Ihrem virtuellen Netzwerk und Ihrem lokalen Standort über eine öffentliche Verbindung oder zwischen virtuellen Netzwerken senden. Standort-zu-Standort-VPNs verwenden IPsec für die Transportverschlüsselung.

Point-to-Site-VPN-Verbindungen

Über Point-to-Site-VPN-Verbindungen können einzelne Clientcomputer auf ein virtuelles Azure-Netzwerk zugreifen. Das Secure Socket Tunneling Protocol (SSTP) wird zum Erstellen des VPN-Tunnels verwendet. Weitere Informationen finden Sie unter Konfigurieren einer Punkt-zu-Standort-Verbindung mit einem virtuellen Netzwerk.

Site-to-Site-VPN-Verbindungen

Eine Standort-zu-Standort-VPN-Gatewayverbindung verbindet Ihr lokales Netzwerk mit einem virtuellen Azure-Netzwerk über einen IPsec/IKE VPN-Tunnel. Weitere Informationen finden Sie unter Erstellen einer Standort-zu-Standort-Verbindung.

Schlüsselverwaltung mit Key Vault

Ohne ordnungsgemäßen Schutz und Verwaltung von Schlüsseln wird die Verschlüsselung nutzlos. Azure Key Vault ist die von Microsoft empfohlene Lösung zum Verwalten und Steuern des Zugriffs auf Verschlüsselungsschlüssel, die von Clouddiensten verwendet werden.

Mit Key Vault gehören für Organisationen das Konfigurieren, Patchen und Verwalten von HSMs (Hardware Security Modules) und wichtiger Verwaltungssoftware der Vergangenheit an. Mit Key Vault behalten Sie die Kontrolle – Microsoft sieht Ihre Schlüssel nie, und Anwendungen haben keinen direkten Zugriff darauf. Sie können zudem Schlüssel in HSMs importieren oder generieren.

Weitere Informationen zur Schlüsselverwaltung in Azure finden Sie unter Schlüsselverwaltung in Azure.

Nächste Schritte

• Azure-Sicherheitsübersicht
• Übersicht über die Azure-Netzwerksicherheit
• Übersicht über die Azure-Datenbanksicherheit
• Sicherheitsübersicht über virtuelle Azure-Computer
• Verschlüsselung ruhender Daten
• Bewährte Methoden für Datensicherheit und Verschlüsselung
• Schlüsselverwaltung in Azure