Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel bietet eine Übersicht über die Verwendung der Verschlüsselung in Microsoft Azure. Er behandelt die wichtigsten Bereiche der Verschlüsselung, einschließlich Verschlüsselung ruhender Daten, Verschlüsselung in Aktion und Schlüsselverwaltung mit Azure Key Vault. Jeder Abschnitt enthält Links zu ausführlicheren Informationen.
Verschlüsselung für ruhende Daten
Ruhende Daten umfassen Informationen, die in einem beliebigen digitalen Format im dauerhaften Speicher auf physischen Medien gespeichert sind. Zu den Medien gehören Dateien auf Magnet- oder optischen Datenträgern, archivierte Daten und Datensicherungen. Microsoft Azure bietet eine Reihe von Datenspeicherlösungen für verschiedene Anforderungen, darunter Datei-, Daten-, Blob- und Tabellenspeicher. Microsoft bietet außerdem Verschlüsselung zum Schutz von Azure SQL-Datenbank, Azure Cosmos DB und Azure Data Lake.
Die ruhende Datenverschlüsselung mit der AES 256-Datenverschlüsselung steht für Dienste in der gesamten Software as a Service (SaaS), Plattform as a Service (PaaS) und Infrastruktur as a Service (IaaS)-Cloudmodellen zur Verfügung. In diesem Artikel werden Ressourcen zusammenfassend beschrieben und bereitgestellt, mit denen Sie die Verschlüsselungsoptionen von Azure nutzen können.
Eine ausführlichere Erläuterung dazu, wie ruhende Daten in Azure verschlüsselt werden, finden Sie unter Azure Data Encryption-at-Rest.
Azure-Verschlüsselungsmodelle
Azure unterstützt verschiedene Verschlüsselungsmodelle, darunter die serverseitige Verschlüsselung unter Verwendung dienstverwalteter Schlüssel, unter Verwendung kundenverwalteter Schlüssel in Key Vault oder unter Verwendung kundenverwalteter Schlüssel auf vom Kunden gesteuerter Hardware. Mit der clientseitigen Verschlüsselung können Sie Schlüssel lokal oder an anderen sicheren Speicherorten verwalten und speichern.
Clientseitige Verschlüsselung
Die clientseitige Verschlüsselung erfolgt außerhalb von Azure. Sie hat folgenden Inhalt:
- Daten, die über eine im Rechenzentrum des Kunden ausgeführte Anwendung oder über eine Dienstanwendung verschlüsselt werden
- Daten, die beim Empfang in Azure bereits verschlüsselt sind
Bei der clientseitigen Verschlüsselung hat der Clouddienstanbieter keinen Zugriff auf die Verschlüsselungsschlüssel und kann diese Daten nicht entschlüsseln. Sie behalten die vollständige Kontrolle über die Schlüssel.
Serverseitige Verschlüsselung
Die drei Modelle für die serverseitige Verschlüsselung bieten unterschiedliche Merkmale der Schlüsselverwaltung, die Sie je nach Ihren Anforderungen auswählen können:
Dienstverwaltete Schlüssel: Bietet eine Kombination aus Steuerung und Komfort mit geringem Mehraufwand.
Vom Kunden verwaltete Schlüssel: Bietet Ihnen die Kontrolle über die Schlüssel, einschließlich BYOK-Unterstützung (Bring Your Own Keys) oder ermöglicht Ihnen das Generieren neuer Schlüssel.
Vom Dienst verwaltete Schlüssel in der vom Kunden gesteuerten Hardware: Ermöglicht es Ihnen, Schlüssel in Ihrem proprietären Repository außerhalb der Microsoft-Kontrolle zu verwalten. Dies wird als „Host Your Own Key“ (HYOK) bezeichnet. Die Konfiguration ist jedoch komplex, und die meisten Azure-Dienste unterstützen dieses Modell nicht.
Azure Disk Encryption
Alle verwalteten Datenträger, Momentaufnahmen und Images werden mithilfe von Speicherdienstverschlüsselung mit einem vom Dienst verwalteten Schlüssel verschlüsselt. Azure bietet außerdem Optionen zum Schutz von temporären Datenträgern, Caches und Verwalten von Schlüsseln in Azure Key Vault. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.
Azure-Speicherdienstverschlüsselung
Ruhende Daten in Azure Blob Storage und Azure-Dateifreigaben können in serverseitigen und clientseitigen Szenarien verschlüsselt werden.
Azure Storage Service Encryption (SSE) kann Daten automatisch verschlüsseln, bevor sie gespeichert wird, und sie entschlüsselt die Daten automatisch, wenn Sie sie abrufen. Der Vorgang erfolgt für Benutzer vollkommen unbemerkt. Die Speicherdienstverschlüsselung verwendet die 256-Bit-AES-Verschlüsselung (Advanced Encryption Standard), die eine der stärksten verfügbaren Blockchiffre ist. AES verarbeitet die Verschlüsselung, Entschlüsselung und Schlüsselverwaltung auf im Hintergrund.
Clientseitige Verschlüsselung von Azure-Blobs
Sie können die clientseitige Verschlüsselung von Azure-Blobs auf verschiedene Weise durchführen.
Sie können das NuGet-Paket „Azure Storage-Clientbibliothek für .NET“ verwenden, um Daten in Ihren Clientanwendungen vor dem Hochladen in Azure Storage zu verschlüsseln.
Weitere Informationen zum Azure Storage Client Library for .NET NuGet-Paket finden Sie unter Windows Azure Storage 8.3.0.
Bei Verwendung der clientseitigen Verschlüsselung mit Key Vault werden Ihre Daten mit einem einmaligen symmetrischen Inhaltsverschlüsselungsschlüssel (CEK, Content Encryption Key) verschlüsselt, der vom Azure Storage Client SDK generiert wird. Der CEK wird mit einem Schlüsselverschlüsselungsschlüssel (KEK, Key Encryption Key) verschlüsselt, bei dem es sich entweder um ein symmetrisches oder ein asymmetrisches Schlüsselpaar handeln kann. Sie können ihn lokal verwalten oder in Key Vault speichern. Die verschlüsselten Daten werden dann in Azure Storage hochgeladen.
Weitere Informationen zur clientseitigen Verschlüsselung mit Key Vault und erste Schritte mit Anleitungen finden Sie im Lernprogramm: Verschlüsseln und Entschlüsseln von Blobs in Azure Storage mithilfe von Key Vault.
Schließlich können Sie auch die Azure Storage-Clientbibliothek für Java verwenden, um die clientseitige Verschlüsselung vor dem Hochladen von Daten in Azure Storage und die Entschlüsselung der Daten beim Herunterladen auf den Client durchzuführen. Diese Bibliothek unterstützt auch die Integration in Key Vault für die Verwaltung von Speicherkontoschlüsseln.
Verschlüsselung ruhender Daten mit Azure SQL-Datenbank
Azure SQL-Datenbank ist ein allgemeiner relationaler Datenbankdienst in Azure, der Strukturen wie relationale Daten, JSON, räumliche und XML unterstützt. SQL-Datenbank unterstützt die serverseitige Verschlüsselung über das TDE-Feature (Transparent Data Encryption) sowie die clientseitige Verschlüsselung über das Always Encrypted-Feature.
Transparente Datenverschlüsselung
TDE wird verwendet, um SQL Server-, Azure SQL-Datenbank- und Azure Synapse Analytics-Datendateien in Echtzeit mithilfe eines Datenbankverschlüsselungsschlüssels (Database Encryption Key, DEK) zu verschlüsseln, der im Datenbankstartdatensatz für die Verfügbarkeit während der Wiederherstellung gespeichert wird.
TDE schützt die Daten- und Protokolldateien über die Verschlüsselungsalgorithmen AES und Triple Data Encryption Standard (3DES). Die Verschlüsselung der Datenbankdatei erfolgt auf Seitenebene. Die Seiten in einer verschlüsselten Datenbank werden verschlüsselt, bevor sie auf den Datenträger geschrieben werden, und entschlüsselt, bevor sie in den Arbeitsspeicher eingelesen werden. TDE ist jetzt bei neu erstellten Azure SQL-Datenbanken standardmäßig aktiviert.
Always Encrypted-Feature
Mit dem Feature "Immer verschlüsselt " in Azure SQL können Sie Daten in Clientanwendungen verschlüsseln, bevor Sie sie in der Azure SQL-Datenbank speichern. Außerdem können Sie die Delegierung der lokalen Datenbankverwaltung an Drittanbieter aktivieren und die Trennung zwischen den Benutzern, die die Daten besitzen und anzeigen können, und den Benutzern, die die Daten verwalten, jedoch keinen Zugriff darauf haben sollen, aufrechterhalten.
Verschlüsselung auf Zellen- oder Spaltenebene
Mit Azure SQL-Datenbank können Sie mithilfe von Transact-SQL eine symmetrische Verschlüsselung auf eine Datenspalte anwenden. Dieser Ansatz wird als Verschlüsselung auf Zellenebene oder Verschlüsselung auf Spaltenebene bezeichnet, da Sie diese verwenden können, um bestimmte Spalten oder sogar bestimmte Datenzellen mit unterschiedlichen Verschlüsselungsschlüsseln zu verschlüsseln. Diese Verschlüsselungsfunktion ist differenzierter als die TDE, bei der Daten in Seiten verschlüsselt werden.
CLE verfügt über integrierte Funktionen, mit denen Sie Daten über symmetrische oder asymmetrische Schlüssel, dem öffentlichen Schlüssel eines Zertifikats oder einer Passphrase über 3DES verschlüsseln können.
Azure Cosmos DB-Datenbankverschlüsselung
Azure Cosmos DB ist die global verteilte Multimodelldatenbank von Microsoft. Die in Azure Cosmos DB in nichtflüchtigem Speicher (Solid State Drives) gespeicherten Benutzerdaten werden standardmäßig verschlüsselt. Es sind keine Steuerelemente zum Aktivieren oder Deaktivieren vorhanden. Die Verschlüsselung ruhender Daten wird über eine Reihe von Sicherheitstechnologien implementiert, einschließlich der Speichersysteme für sichere Schlüssel, verschlüsselter Netzwerke und Kryptografie-APIs. Die Verschlüsselungsschlüssel werden von Microsoft verwaltet und entsprechend internen Microsoft-Richtlinien rotiert. Optional können Sie eine zweite Verschlüsselungsebene mit Schlüsseln hinzufügen, die Sie mit den vom Kunden verwalteten Schlüsseln oder der CMK-Funktion verwalten.
Verschlüsselung ruhender Daten in Data Lake
Azure Data Lake ist ein unternehmensweites Repository jeder Art von Daten, die an einem zentralen Ort vor einer formalen Definition von Anforderungen oder Schemas gesammelt werden. Data Lake Store unterstützt die standardmäßig aktivierte Verschlüsselung von ruhenden Daten im Hintergrund, die während der Erstellung Ihres Kontos eingerichtet wird. Standardmäßig verwaltet Azure Data Lake Store die Schlüssel, Sie haben jedoch die Möglichkeit, diese selbst zu verwalten.
Drei Arten von Schlüsseln werden beim Verschlüsseln und Entschlüsseln von Daten verwendet: Masterverschlüsselungsschlüssel (MEK, Master Encryption Key), Datenverschlüsselungsschlüssel (DEK, Data Encryption Key) und Blockverschlüsselungsschlüssel (BEK, Block Encryption Key). Der MEK wird zum Verschlüsseln des DEK verwendet, der auf persistenten Medien gespeichert wird. Der BEK wird vom DEK und dem Datenblock abgeleitet. Wenn Sie Ihre eigenen Schlüssel verwalten, können Sie den MEK rotieren.
Verschlüsselung von Daten während der Übertragung
Azure bietet viele Verfahren zum Schutz von Daten beim Übertragen zwischen verschiedenen Speicherorten.
Verschlüsselung in der Sicherungsschicht in Azure
Wenn Azure-Kundendatenverkehr zwischen Rechenzentren verschoben wird – außerhalb physischer Grenzen, die nicht von Microsoft (oder im Auftrag von Microsoft) gesteuert werden – wird eine Verschlüsselungsmethode für datenverknüpfte Layer unter Verwendung der IEEE 802.1AE MAC Security Standards (auch maCsec genannt) von Punkt zu Punkt auf der zugrunde liegenden Netzwerkhardware angewendet. Die Pakete werden auf den Geräten vor dem Senden verschlüsselt. Dadurch werden physische Man-in-the-Middle-Angriffe und Spionage-/Abhörangriffe verhindert. Da diese Technologie in die Netzwerkhardware selbst integriert ist, bietet sie Verschlüsselung auf der Netzwerkhardware mit der Leitungsrate ohne eine messbar höhere Verbindungslatenz. Diese MACsec-Verschlüsselung ist standardmäßig für den gesamten Azure-Datenverkehr aktiviert, der innerhalb einer Region oder zwischen Regionen fließt, und der Kunde muss keine Aktion zum Aktivieren ausführen.
TLS-Verschlüsselung in Azure
Microsoft bietet Kunden die Möglichkeit, das TLS-Protokoll (Transport Layer Security) zum Schutz von Daten zu verwenden, wenn sie zwischen den Clouddiensten und Kunden unterwegs sind. Die Microsoft-Rechenzentren verhandeln eine TLS-Verbindung mit Clientsystemen, die eine Verbindung mit Azure-Diensten herstellen. TLS bietet strenge Authentifizierung, Datenschutz von Nachrichten und Integrität (ermöglicht die Erkennung von Manipulation, Abfangen und Fälschung von Nachrichten), Interoperabilität, Algorithmusflexibilität sowie einfache Bereitstellung und Verwendung.
Perfect Forward Secrecy (PFS) schützt Verbindungen zwischen kundenseitigen Clientsystemen und Microsoft-Clouddiensten durch eindeutige Schlüssel. Verbindungen unterstützen auch RSA-basierte 2.048-Bit-Schlüssellängen, ECC 256-Bit-Schlüssellängen, SHA-384-Nachrichtenauthentifizierung und AES-256-Datenverschlüsselung. Diese Kombination erschwert das Abfangen von Daten während der Übertragung und den Zugriff darauf.
Transaktionen in Azure Storage
Wenn Sie mit Azure Storage über das Azure-Portal interagieren, erfolgen alle Transaktionen über HTTPS. Für die Interaktion mit Azure Storage können Sie auch die Storage-REST-API über HTTPS verwenden. Sie können die Verwendung von HTTPS beim Aufruf von REST-APIs für den Zugriff auf Objekte in Speicherkonten erzwingen, indem Sie die Option „Sichere Übertragung erforderlich“ aktivieren.
Shared Access Signatures (SAS), die zum Delegieren des Zugriffs auf Azure Storage-Objekte verwendet werden können, bieten eine Option zum Angeben, dass nur das HTTPS-Protokoll verwendet werden kann, wenn Sie Shared Access Signatures verwenden. Mit diesem Ansatz wird sichergestellt, dass jeder, der Links mit SAS-Token sendet, das richtige Protokoll verwendet.
SMB 3.0, der für den Zugriff auf Azure Files-Freigaben verwendet wurde, die Verschlüsselung unterstützt und in Windows Server 2012 R2, Windows 8, Windows 8.1 und Windows 10 verfügbar ist. Dies macht einen regionsübergreifenden Zugriff und sogar den Zugriff auf dem Desktop möglich.
Die Daten werden mit der clientseitigen Verschlüsselung verschlüsselt, bevor sie an Ihre Azure Storage-Instanz gesendet werden, sodass sie während der Übertragung im Netzwerk verschlüsselt sind.
SMB-Verschlüsselung in virtuellen Azure-Netzwerken
Mithilfe von SMB 3.0 in VMs, die Windows Server 2012 oder höher ausführen, können Sie Datenübertragungen sicher machen, indem Sie Daten während der Übertragung über Azure Virtual Networks verschlüsseln. Durch die Datenverschlüsselung können Sie Daten vor Manipulationen und Abfangen schützen. Administratoren können die SMB-Verschlüsselung für den gesamten Server oder nur für bestimmte Freigaben aktivieren.
Nachdem die SMB-Verschlüsselung für eine Freigabe oder einen Server aktiviert wurde, können standardmäßig nur SMB 3.0-Clients auf die verschlüsselten Freigaben zugreifen.
Verschlüsselung während der Übertragung zwischen virtuellen Computern
Daten, die auf, von und zwischen virtuellen Computern unter Windows übertragen werden, können je nach Art der Verbindung auf unterschiedliche Weise verschlüsselt werden.
RDP-Sitzungen
Sie können eine Verbindung mit einem virtuellen Computer herstellen und sich mit dem Remotedesktopprotokoll (RDP) von einem Windows-Clientcomputer oder von einem Mac mit einem INSTALLIERTen RDP-Client anmelden. Daten während der Übertragung über das Netzwerk in RDP-Sitzungen können durch TLS geschützt werden.
Sie können auch über Remotedesktop eine Verbindung mit einem virtuellen Linux-Computer in Azure herstellen.
Sicherer Zugriff auf Linux-VMs mit SSH
Für die Remoteverwaltung können Sie Secure Shell (SSH) verwenden, um eine Verbindung mit Linux-VMs herzustellen, die in Azure ausgeführt werden. SSH ist ein Protokoll für verschlüsselte Verbindungen, das die sichere Anmeldung über ungesicherte Verbindungen ermöglicht. Es ist das Standardverbindungsprotokoll für in Azure gehostete virtuelle Linux-Computer. Durch die Verwendung von SSH-Schlüsseln für die Authentifizierung sind keine Kennwörter für die Anmeldung erforderlich. SSH verwendet ein Schlüsselpaar aus einem öffentlichen und privaten Schlüssel (asymmetrische Verschlüsselung) für die Authentifizierung.
Azure-VPN-Verschlüsselung
Sie können die Verbindung mit Azure über ein virtuelles privates Netzwerk herstellen, das einen sicheren Tunnel zum Datenschutz der über das Netzwerk gesendeten Daten erstellt.
Azure-VPN-Gateways
Sie können ein Azure VPN-Gateway verwenden, um verschlüsselten Datenverkehr zwischen Ihrem virtuellen Netzwerk und Ihrem lokalen Standort über eine öffentliche Verbindung zu senden oder den Datenverkehr zwischen virtuellen Netzwerken zu senden.
Standort-zu-Standort-VPNs verwenden IPsec für die Transportverschlüsselung. Azure-VPN-Gateways verwenden einen Satz von Standardvorschlägen. Sie können Azure-VPN-Gateways so konfigurieren, dass anstelle der Azure-Standardrichtliniensätze eine benutzerdefinierte IPsec/IKE-Richtlinie mit bestimmten Kryptografiealgorithmen und Schlüssellängen verwendet wird.
Point-to-Site-VPN-Verbindungen
Über Point-to-Site-VPN-Verbindungen können einzelne Clientcomputer auf ein virtuelles Azure-Netzwerk zugreifen. Das Secure Socket Tunneling Protocol (SSTP) wird zum Erstellen des VPN-Tunnels verwendet. Das Protokoll kann Firewalls durchlaufen (der Tunnel wird als HTTPS-Verbindung angezeigt). Sie können für Point-to-Site-Verbindungen Ihre eigene interne PKI-Stammzertifizierungsstelle (Public Key-Infrastruktur) verwenden.
Sie können eine Point-to-Site-VPN-Verbindung mit einem virtuellen Netzwerk über das Azure-Portal mit Zertifikatauthentifizierung oder über PowerShell konfigurieren.
Weitere Informationen zu Point-to-Site-VPN-Verbindungen mit virtuellen Azure-Netzwerken finden Sie in folgenden Artikeln:
Site-to-Site-VPN-Verbindungen
Sie können eine Site-to-Site-VPN-Gatewayverbindung verwenden, um Ihr lokales Netzwerk über einen IPsec/IKE-VPN-Tunnel (IKEv1 oder IKEv2) mit einem virtuellen Azure-Netzwerk zu verbinden. Für diese Art von Verbindung wird ein lokales VPN-Gerät benötigt, dem eine extern zugängliche, öffentliche IP-Adresse zugewiesen ist.
Sie können eine Site-to-Site-VPN-Verbindung mit einem virtuellen Netzwerk über das Azure-Portal, PowerShell oder die Azure-Befehlszeilenschnittstelle konfigurieren.
Weitere Informationen finden Sie unter
Erstellen einer Standort-zu-Standort-Verbindung im Azure-Portal
Erstellen einer Standort-zu-Standort-Verbindung in PowerShell
Erstellen eines virtuellen Netzwerks mit einer Standort-zu-Standort-VPN-Verbindung mithilfe von CLI
Verschlüsselung von Daten während der Übertragung in Data Lake
Auch übertragene Daten (Daten in Bewegung) werden in Data Lake Store immer verschlüsselt. Zusätzlich zur Verschlüsselung von Daten vor dem Speichern auf persistenten Medien werden Daten auch während der Übertragung immer über HTTPS geschützt. Für die Data Lake Store-REST-Schnittstellen wird ausschließlich das HTTPS-Protokoll unterstützt.
Weitere Informationen zur Verschlüsselung von Daten während der Übertragung in Data Lake finden Sie unter "Verschlüsselung von Daten im Data Lake Store".
Schlüsselverwaltung mit Key Vault
Ohne angemessenen Schutz und die richtige Verwaltung der Schlüssel ist Verschlüsselung unbrauchbar. Key Vault ist die von Microsoft empfohlene Lösung zur Verwaltung und Steuerung des Zugriffs auf die in Clouddiensten verwendeten Verschlüsselungsschlüssel. Berechtigungen für Zugriffsschlüssel können Diensten oder Benutzer*innen über Microsoft Entra-Konten zugewiesen werden.
Mit Key Vault gehören für Organisationen das Konfigurieren, Patchen und Verwalten von HSMs (Hardware Security Modules) und wichtiger Verwaltungssoftware der Vergangenheit an. Mit Key Vault behalten Sie die Kontrolle. Microsoft erhält niemals Einblick in Ihre Schlüssel, und Anwendungen haben keinen direkten Zugriff auf die Schlüssel. Sie können zudem Schlüssel in HSMs importieren oder generieren.