Verschlüsselung in Azure
Technologische Sicherheitsvorkehrungen in Azure, z. B. verschlüsselte Kommunikation und Betriebliche Prozesse, tragen dazu bei, dass Ihre Daten sicher sind. Sie haben auch die Flexibilität, zusätzliche Verschlüsselungsfeatures zu implementieren und Ihre eigenen kryptografischen Schlüssel zu verwalten. Unabhängig von der Kundenkonfiguration wendet Microsoft die Verschlüsselung an, um Kundendaten in Azure zu schützen. Microsoft ermöglicht Es Ihnen auch, Ihre in Azure gehosteten Daten über eine Reihe erweiterter Technologien zu steuern, um kryptografische Schlüssel zu verschlüsseln, zu steuern und zu verwalten sowie den Zugriff auf Daten zu steuern und zu überwachen. Darüber hinaus bietet Azure Storage eine umfassende Reihe von Sicherheitsfunktionen, mit denen Entwickler gemeinsam sichere Anwendungen erstellen können.
Azure bietet viele Mechanismen zum Schutz von Daten, wenn sie von einem Standort zu einem anderen verschoben werden. Microsoft verwendet TLS, um Daten zu schützen, wenn sie zwischen den Clouddiensten und Kunden übertragen werden. Die Rechenzentren von Microsoft verhandeln eine TLS-Verbindung mit Clientsystemen, die eine Verbindung mit Azure-Diensten herstellen. Forward Secrecy (FS) schützt Verbindungen zwischen den Clientsystemen von Kunden und den Clouddiensten von Microsoft durch eindeutige Schlüssel. Verbindungen verwenden auch RSA-basierte 2.048-Bit-Verschlüsselungsschlüssellängen. Diese Kombination erschwert es jemandem, Daten abzufangen und darauf zuzugreifen, die sich während der Übertragung befindet.
Daten können während der Übertragung zwischen einer Anwendung und Azure mithilfe clientseitiger Verschlüsselung, HTTPS oder SMB 3.0 geschützt werden. Sie können die Verschlüsselung für den Datenverkehr zwischen Ihren eigenen virtuellen Computern (VMs) und Ihren Benutzern aktivieren. Mit Virtuellen Azure-Netzwerken können Sie das IPsec-Protokoll nach Branchenstandard verwenden, um Datenverkehr zwischen Ihrem Unternehmens-VPN-Gateway und Azure sowie zwischen den VMs auf Ihrem Virtual Network zu verschlüsseln.
Für ruhende Daten bietet Azure viele Verschlüsselungsoptionen, z. B. Unterstützung für AES-256, sodass Sie das Datenspeicherszenario auswählen können, das Ihren Anforderungen am besten entspricht. Daten können automatisch verschlüsselt werden, wenn sie mithilfe der Speicherdienstverschlüsselung in Azure Storage geschrieben werden, und betriebssystem- und datenträger, die von VMs verwendet werden, können verschlüsselt werden. Weitere Informationen finden Sie unter Sicherheitsempfehlungen für virtuelle Windows-Computer in Azure. Darüber hinaus kann delegierter Zugriff auf Datenobjekte in Azure Storage mithilfe von Shared Access Signatures gewährt werden. Azure bietet auch Verschlüsselung für ruhende Daten mithilfe von Transparent Data Encryption für Azure SQL Database and Data Warehouse.
Weitere Informationen zur Verschlüsselung in Azure finden Sie unter Übersicht über die Azure-Verschlüsselung und Azure Data Encryption im Ruhezustand.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Azure Disk Encryption
Mit Azure Disk Encryption können Sie Ihre Windows- und Linux IaaS-VM-Datenträger (Infrastructure-as-a-Service) verschlüsseln. Azure Disk Encryption verwendet das BitLocker-Feature von Windows und das DM-Crypt-Feature von Linux, um verschlüsselung auf Volumeebene für das Betriebssystem und die Datenträger bereitzustellen. Außerdem wird sichergestellt, dass alle Daten auf den VM-Datenträgern im Ruhezustand in Ihrem Azure-Speicher verschlüsselt werden. Azure Disk Encryption ist in Azure Key Vault integriert, damit Sie die Verwendung der Verschlüsselungsschlüssel und Geheimnisse steuern, verwalten und überwachen können.
Weitere Informationen finden Sie unter Sicherheitsempfehlungen für virtuelle Windows-Computer in Azure.
Azure-Speicherdienstverschlüsselung
Mit Azure Storage Service Encryption verschlüsselt Azure Storage Daten automatisch, bevor sie im Speicher gespeichert werden, und entschlüsselt Daten vor dem Abruf. Die Verschlüsselungs-, Entschlüsselungs- und Schlüsselverwaltungsprozesse sind für Benutzer völlig transparent. Azure Storage Service Encryption kann für Azure Blob Storage und Azure Files verwendet werden. Sie können auch von Microsoft verwaltete Verschlüsselungsschlüssel mit Azure Storage Service Encryption verwenden, oder Sie können Ihre eigenen Verschlüsselungsschlüssel verwenden. (Informationen zur Verwendung Eigener Schlüssel finden Sie unter Speicherdienstverschlüsselung mit kundenseitig verwalteten Schlüsseln in Azure Key Vault. Informationen zur Verwendung von von Microsoft verwalteten Schlüsseln finden Sie unter Speicherdienstverschlüsselung für ruhende Daten.) Darüber hinaus können Sie die Verwendung der Verschlüsselung automatisieren. Beispielsweise können Sie die Speicherdienstverschlüsselung für ein Speicherkonto mithilfe der Azure Storage-Ressourcenanbieter-REST-API, der Speicherressourcenanbieter-Clientbibliothek für .NET, Azure PowerShell oder der Azure CLI programmgesteuert aktivieren oder deaktivieren.
Einige Microsoft 365-Dienste verwenden Azure zum Speichern von Daten. Beispielsweise speichern SharePoint Online und OneDrive for Business Daten in Azure Blob Storage, und Microsoft Teams speichert Daten für den Chatdienst in Tabellen, Blobs und Warteschlangen. Darüber hinaus speichert das Compliance-Manager-Feature im Microsoft Purview-Complianceportal von Kunden eingegebene Daten in verschlüsselter Form in Azure Cosmos DB, einer PaaS-Datenbank (Platform-as-a-Service), global verteilten Datenbank mit mehreren Modellen. Azure Storage Service Encryption verschlüsselt Daten, die in Azure Blob Storage und in Tabellen gespeichert sind, und Azure Disk Encryption verschlüsselt Daten in Warteschlangen sowie Windows- und IaaS-VM-Datenträgern, um volumeverschlüsselung für das Betriebssystem und den Datenträger bereitzustellen. Die Lösung stellt sicher, dass alle Daten auf den Datenträgern des virtuellen Computers im Ruhezustand in Ihrem Azure-Speicher verschlüsselt werden. Die Verschlüsselung ruhender Daten in Azure Cosmos DB wird mithilfe verschiedener Sicherheitstechnologien implementiert, darunter sichere Schlüsselspeichersysteme, verschlüsselte Netzwerke und kryptografische APIs.
Azure Key Vault
Die sichere Schlüsselverwaltung ist nicht nur der Kern der bewährten Methoden für die Verschlüsselung. Sie ist auch für den Schutz von Daten in der Cloud unerlässlich. Mit Azure Key Vault können Sie Schlüssel und kleine Geheimnisse wie Kennwörter verschlüsseln, die in Hardwaresicherheitsmodulen (HSMs) gespeicherte Schlüssel verwenden. Azure Key Vault ist die empfohlene Lösung von Microsoft zum Verwalten und Steuern des Zugriffs auf Verschlüsselungsschlüssel, die von Clouddiensten verwendet werden. Berechtigungen für Zugriffsschlüssel können Diensten oder Benutzern mit Azure Active Directory-Konten zugewiesen werden. Azure Key Vault erleichtert Organisationen die Notwendigkeit, HSMs und Schlüsselverwaltungssoftware zu konfigurieren, zu patchen und zu verwalten. Mit Azure Key Vault sieht Microsoft nie, dass Ihre Schlüssel und Anwendungen keinen direkten Zugriff darauf haben. Sie behalten die Kontrolle. Sie können schlüssel auch in HSMs importieren oder generieren. Organisationen, die über ein Abonnement verfügen, das Azure Information Protection enthält, können ihren Azure Information Protection-Mandanten so konfigurieren, dass er einen kundenseitig verwalteten Schlüssel mit Bring Your Own Key (BYOK)) verwendet und dessen Nutzung protokolliert.