Verschlüsselung und Schlüsselverwaltung (Übersicht)
Welche Rolle spielt verschlüsselung beim Schutz von Kundeninhalten?
Die meisten Microsoft Business Cloud Services sind mehrinstanzenfähig, was bedeutet, dass Kundeninhalte auf derselben physischen Hardware wie andere Kunden gespeichert werden können. Um die Vertraulichkeit von Kundeninhalten zu schützen, verschlüsseln Microsoft-Onlinedienste alle ruhenden und übertragenen Daten mit einigen der stärksten und sichersten verfügbaren Verschlüsselungsprotokolle.
Verschlüsselung ist kein Ersatz für starke Zugriffssteuerungen. Die Microsoft-Zugriffssteuerungsrichtlinie von Zero Standing Access (ZSA) schützt Kundeninhalte vor unbefugtem Zugriff durch Microsoft-Mitarbeiter. Die Verschlüsselung ergänzt die Zugriffssteuerung, indem sie die Vertraulichkeit von Kundeninhalten überall dort schützt, wo sie gespeichert werden, und indem verhindert wird, dass Inhalte während der Übertragung zwischen Microsoft-Onlinedienstensystemen oder zwischen Microsoft-Onlinediensten und dem Kunden gelesen werden.
Wie verschlüsseln Microsoft-Onlinedienste ruhende Daten?
Alle Kundeninhalte in Microsoft-Onlinediensten sind durch eine oder mehrere Verschlüsselungsformen geschützt. Microsoft-Server verwenden BitLocker, um die Datenträgerlaufwerke mit Kundeninhalten auf Volumeebene zu verschlüsseln. Die von BitLocker bereitgestellte Verschlüsselung schützt Kundeninhalte, wenn es bei anderen Prozessen oder Kontrollen (z. B. Zugriffssteuerung oder Wiederverwendung von Hardware) zu Einem fehlerhaften physischen Zugriff auf Datenträger mit Kundeninhalten kommen kann.
Zusätzlich zur Verschlüsselung auf Volumeebene verwenden Microsoft-Onlinedienste verschlüsselung auf Der Anwendungsebene, um Kundeninhalte zu verschlüsseln. Die Dienstverschlüsselung bietet Zusätzlich zu starkem Verschlüsselungsschutz auch Rechteschutz- und Verwaltungsfunktionen. Es ermöglicht auch die Trennung zwischen Windows-Betriebssystemen und den Kundendaten, die von diesen Betriebssystemen gespeichert oder verarbeitet werden.
Wie verschlüsseln Microsoft-Onlinedienste Daten während der Übertragung?
Microsoft-Onlinedienste verwenden starke Transportprotokolle wie Transport Layer Security (TLS), um zu verhindern, dass nicht autorisierte Parteien Kundendaten abhören, während sie über ein Netzwerk verschoben werden. Beispiele für Daten während der Übertragung sind E-Mail-Nachrichten, die gerade übermittelt werden, Unterhaltungen, die in einer Onlinebesprechung stattfinden, oder Dateien, die zwischen Rechenzentren repliziert werden.
Bei Microsoft-Onlinediensten werden Daten immer dann als "übertragen" betrachtet, wenn das Gerät eines Benutzers mit einem Microsoft-Server kommuniziert oder ein Microsoft-Server mit einem anderen Server kommuniziert.
Wie verwalten Microsoft-Onlinedienste die schlüssel, die für die Verschlüsselung verwendet werden?
Eine starke Verschlüsselung ist nur so sicher wie die Schlüssel, die zum Verschlüsseln von Daten verwendet werden. Microsoft verwendet eigene Sicherheitszertifikate und zugehörige Schlüssel, um TLS-Verbindungen für die Übertragung von Daten zu verschlüsseln. Für ruhende Daten werden bitLocker-geschützte Volumes mit einem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der mit einem Volumehauptschlüssel verschlüsselt ist, der wiederum an das Trusted Platform Module (TPM) auf dem Server gebunden ist. BitLocker verwendet FIPS 140-2-konforme Algorithmen, um sicherzustellen, dass Verschlüsselungsschlüssel niemals im Klaren gespeichert oder über das Netzwerk gesendet werden.
Die Dienstverschlüsselung bietet eine weitere Verschlüsselungsebene für ruhende Daten von Kunden, sodass Kunden zwei Optionen für die Verwaltung von Verschlüsselungsschlüsseln haben: von Microsoft verwaltete Schlüssel oder Kundenschlüssel. Bei Verwendung von von Microsoft verwalteten Schlüsseln generieren und speichern Microsoft-Onlinedienste automatisch die Stammschlüssel, die für die Dienstverschlüsselung verwendet werden.
Kunden mit Anforderungen zum Steuern ihrer eigenen Stammverschlüsselungsschlüssel können die Dienstverschlüsselung mit Dem Microsoft Purview-Kundenschlüssel verwenden. Mithilfe des Kundenschlüssels können Kunden ihre eigenen kryptografischen Schlüssel entweder mithilfe eines lokalen Hardwaredienstmoduls (HSM) oder mit Azure Key Vault (AKV) generieren. Kundenstammschlüssel werden in AKV gespeichert, wo sie als Stamm eines der Keychains verwendet werden können, der Kundenpostfachdaten oder -dateien verschlüsselt. Auf Kundenstammschlüssel kann nur indirekt über den Microsoft-Onlinedienstcode für die Datenverschlüsselung zugegriffen werden, und microsoft-Mitarbeiter können nicht direkt darauf zugreifen.
Verwandte externe Vorschriften & Zertifizierungen
Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. In der folgenden Tabelle finden Sie Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit Verschlüsselung und Schlüsselverwaltung.
Azure und Dynamics 365
Externe Überwachungen | Section | Datum des letzten Berichts |
---|---|---|
ISO 27001 Erklärung der Anwendbarkeit Zertifikat |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
8. April 2024 |
ISO 27017 Erklärung der Anwendbarkeit Zertifikat |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
8. April 2024 |
ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A.11.6: Verschlüsselung von personenbezogenen Daten, die über öffentliche Datenübertragungsnetze übertragen werden | 8. April 2024 |
SOC 1 SOC 2 SOC 3 |
DS-1: Sichere Speicherung kryptografischer Zertifikate und Schlüssel DS-2: Kundendaten werden während der Übertragung verschlüsselt DS-3: Interne Kommunikation von Azure-Komponenten, die während der Übertragung verschlüsselt sind DS-4: Kryptografische Steuerelemente und Verfahren |
20. Mai 2024 |
Microsoft 365
Externe Überwachungen | Section | Datum des letzten Berichts |
---|---|---|
FedRAMP (Office 365) | SC-8: Vertraulichkeit und Integrität der Übertragung SC-13: Verwendung von Kryptografie SC-28: Schutz ruhender Informationen |
31. Juli 2023 |
ISO 27001/27017 Erklärung der Anwendbarkeit Zertifizierung (27001) Zertifizierung (27017) |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
März 2022 |
ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A.11.6: Verschlüsselung von personenbezogenen Daten, die über öffentliche Datenübertragungsnetze übertragen werden | März 2022 |
SOC 2 | CA-44: Verschlüsselung von Daten während der Übertragung CA-54: Verschlüsselung ruhender Daten CA-62: Postfachverschlüsselung für Kundenschlüssel CA-63: Löschen von Kundenschlüsseldaten CA-64: Kundenschlüssel |
23. Januar 2024 |
SOC 3 | CUEC-16: Kundenverschlüsselungsschlüssel CUEC-17: Kundenschlüsseltresor CUEC-18: Kundenschlüsselrotation |
23. Januar 2024 |