Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel bietet eine Übersicht über die Verwendung der Verschlüsselung in Microsoft Azure. Er behandelt die wichtigsten Bereiche der Verschlüsselung, einschließlich Verschlüsselung ruhender Daten, Verschlüsselung in Aktion und Schlüsselverwaltung mit Azure Key Vault.
Verschlüsselung für ruhende Daten
Ruhende Daten umfassen Informationen, die in einem beliebigen digitalen Format im dauerhaften Speicher auf physischen Medien gespeichert sind. Microsoft Azure bietet eine Reihe von Datenspeicherlösungen für verschiedene Anforderungen, darunter Datei-, Daten-, Blob- und Tabellenspeicher. Microsoft bietet außerdem Verschlüsselung zum Schutz von Azure SQL-Datenbank, Azure Cosmos DB und Azure Data Lake.
Sie können die AES-256-Verschlüsselung verwenden, um Daten im Ruhezustand für Dienste in den Cloud-Modellen Software-as-a-Service (SaaS), Plattform-as-a-Service (PaaS) und Infrastruktur-as-a-Service (IaaS) zu schützen.
Eine ausführlichere Erläuterung dazu, wie Azure ruhende Daten verschlüsselt, finden Sie unter Azure Data Encryption at Rest.
Azure-Verschlüsselungsmodelle
Azure unterstützt verschiedene Verschlüsselungsmodelle, darunter die serverseitige Verschlüsselung unter Verwendung dienstverwalteter Schlüssel, unter Verwendung kundenverwalteter Schlüssel in Key Vault oder unter Verwendung kundenverwalteter Schlüssel auf vom Kunden gesteuerter Hardware. Mithilfe der clientseitigen Verschlüsselung können Sie Schlüssel lokal oder an einem anderen sicheren Ort verwalten und speichern.
Clientseitige Verschlüsselung
Sie führen clientseitige Verschlüsselung außerhalb von Azure aus. Dazu gehören:
- Daten, die von einer Anwendung verschlüsselt werden, die in Ihrem Rechenzentrum oder in einer Dienstanwendung ausgeführt wird
- Daten, die bereits verschlüsselt sind, wenn Azure sie empfängt
Durch die Verwendung der clientseitigen Verschlüsselung haben Clouddienstanbieter keinen Zugriff auf die Verschlüsselungsschlüssel und können diese Daten nicht entschlüsseln. Sie behalten die vollständige Kontrolle über die Schlüssel.
Serverseitige Verschlüsselung
Die drei serverseitigen Verschlüsselungsmodelle bieten unterschiedliche Schlüsselverwaltungsmerkmale:
- Dienstverwaltete Schlüssel: Bietet eine Kombination aus Steuerung und Komfort mit geringem Mehraufwand.
- Vom Kunden verwaltete Schlüssel: Bietet Ihnen die Kontrolle über die Schlüssel, einschließlich BYOK-Unterstützung (Bring Your Own Keys) oder ermöglicht Ihnen das Generieren neuer Schlüssel.
- Vom Dienst verwaltete Schlüssel in der vom Kunden gesteuerten Hardware: Ermöglicht es Ihnen, Schlüssel in Ihrem proprietären Repository außerhalb der Microsoft-Kontrolle (auch als Host Your Own Key oder HYOK bezeichnet) zu verwalten.
Azure-Datenträgerverschlüsselung
Von Bedeutung
Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.
Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .
Alle verwalteten Datenträger, Momentaufnahmen und Bilder werden standardmäßig mithilfe der Speicherdienstverschlüsselung mit einem vom Dienst verwalteten Schlüssel verschlüsselt. Für virtuelle Computer bietet die Verschlüsselung auf dem Host End-to-End-Verschlüsselung für Ihre VM-Daten, einschließlich temporärer Datenträger und Betriebssystem-/Datenträgercaches. Azure bietet auch Optionen zum Verwalten von Schlüsseln im Azure Key Vault. Weitere Informationen finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.
Azure-Speicherdienstverschlüsselung
Sie können Daten im Ruhezustand in Azure Blob Storage und Azure File Shares sowohl für serverseitige als auch für clientseitige Szenarien verschlüsseln.
Die Azure Storage Service Encryption (SSE) verschlüsselt Automatisch Daten, bevor sie gespeichert werden, und entschlüsselt die Daten automatisch, wenn Sie sie abrufen. Die Speicherdienstverschlüsselung verwendet die 256-Bit-AES-Verschlüsselung, eine der stärksten verfügbaren Blockchiffre.
Azure SQL-Datenbankverschlüsselung
Azure SQL-Datenbank ist ein allgemeiner relationaler Datenbankdienst, der Strukturen wie relationale Daten, JSON, räumliche und XML unterstützt. SQL-Datenbank unterstützt sowohl die serverseitige Verschlüsselung über das Feature "Transparente Datenverschlüsselung(TDE)" als auch die clientseitige Verschlüsselung über das Feature "Immer verschlüsselt".
Transparente Datenverschlüsselung
TDE verschlüsselt SQL Server-, Azure SQL-Datenbank- und Azure Synapse Analytics-Datendateien in Echtzeit mithilfe eines Datenbankverschlüsselungsschlüssels (DEK). TDE ist standardmäßig für neu erstellte Azure SQL-Datenbanken aktiviert.
Immer Verschlüsselt
Mit dem Feature "Immer verschlüsselt " in Azure SQL können Sie Daten in Clientanwendungen verschlüsseln, bevor Sie sie in der Azure SQL-Datenbank speichern. Sie können die Delegierung der Verwaltung lokaler Datenbanken an Dritte aktivieren und dabei die Trennung zwischen denjenigen, die die Daten besitzen und anzeigen können, und denjenigen, die sie verwalten, aufrechterhalten.
Verschlüsselung auf Zellen- oder Spaltenebene
Mit Azure SQL-Datenbank können Sie mithilfe von Transact-SQL eine symmetrische Verschlüsselung auf eine Datenspalte anwenden. Dieser Ansatz wird als Verschlüsselung auf Zellenebene oder Verschlüsselung auf Spaltenebene bezeichnet, da Sie diese verwenden können, um bestimmte Spalten oder Zellen mit unterschiedlichen Verschlüsselungsschlüsseln zu verschlüsseln. Dieser Ansatz bietet Ihnen eine differenziertere Verschlüsselungsfunktion als TDE.
Azure Cosmos DB-Datenbankverschlüsselung
Azure Cosmos DB ist die global verteilte Multimodelldatenbank von Microsoft. Benutzerdaten, die in Azure Cosmos DB in nicht volatilen Speicher (Festkörperlaufwerken) gespeichert sind, werden standardmäßig mithilfe von dienstverwalteten Schlüsseln verschlüsselt. Sie können eine zweite Verschlüsselungsebene mit Ihren eigenen Schlüsseln hinzufügen, indem Sie das Feature für vom Kunden verwaltete Schlüssel (CMK) verwenden.
Verschlüsselung ruhender Daten im Azure Data Lake
Azure Data Lake ist ein unternehmensweites Repository jeder Art von Daten, die an einem zentralen Ort vor einer formalen Definition von Anforderungen oder Schemas gesammelt werden. Der Data Lake Store unterstützt die standardmäßig aktivierte transparente Verschlüsselung im Ruhezustand, die während der Erstellung Ihres Kontos eingerichtet wird. Standardmäßig verwaltet Azure Data Lake Store die Schlüssel für Sie, aber Sie können diese selbst verwalten.
Drei Arten von Schlüsseln werden beim Verschlüsseln und Entschlüsseln von Daten verwendet: Masterverschlüsselungsschlüssel (MEK, Master Encryption Key), Datenverschlüsselungsschlüssel (DEK, Data Encryption Key) und Blockverschlüsselungsschlüssel (BEK, Block Encryption Key). Das MEK verschlüsselt die DEK, die auf beständigen Medien gespeichert ist, und der BEK wird vom DEK und dem Datenblock abgeleitet. Wenn Sie Ihre eigenen Schlüssel verwalten, können Sie das MEK drehen.
Verschlüsselung von Daten während der Übertragung
Azure bietet viele Mechanismen, um Daten privat zu halten, während sie von einem Standort zu einem anderen verschoben wird.
Datenverknüpfungsebenenverschlüsselung
Immer wenn azure-Kundendatenverkehr zwischen Rechenzentren verschoben wird – außerhalb physischer Grenzen, die nicht von Microsoft gesteuert werden – wird eine Verschlüsselungsmethode für datenverknüpfte Layer unter Verwendung der IEEE 802.1AE MAC Security Standards (auch MACsec genannt) von Punkt zu Punkt auf der zugrunde liegenden Netzwerkhardware angewendet. Die Geräte verschlüsseln die Pakete, bevor sie gesendet werden, wodurch physische "Man-in-the-Middle"- oder Snooping/Wiretapping-Angriffe verhindert werden. Diese MACsec-Verschlüsselung ist standardmäßig für den gesamten Azure-Datenverkehr in einer Region oder zwischen Regionen aktiviert.
TLS-Verschlüsselung
Microsoft bietet Kunden die Möglichkeit, das TLS-Protokoll (Transport Layer Security) zum Schutz von Daten zu verwenden, wenn es zwischen Clouddiensten und Kunden unterwegs ist. Die Microsoft-Rechenzentren verhandeln eine TLS-Verbindung mit Clientsystemen, die eine Verbindung mit Azure-Diensten herstellen. TLS bietet eine sichere Authentifizierung, Nachrichtendatenschutz und Integrität.
Von Bedeutung
Azure wechselt zu TLS 1.2 oder höher für alle Verbindungen mit Azure-Diensten. Die meisten Azure-Dienste haben diesen Übergang bis zum 31. August 2025 abgeschlossen. Stellen Sie sicher, dass Ihre Anwendungen TLS 1.2 oder höher verwenden.
Perfect Forward Secrecy (PFS) schützt Verbindungen zwischen kundenseitigen Clientsystemen und Microsoft-Clouddiensten durch eindeutige Schlüssel. Verbindungen unterstützen RSA-basierte 2.048-Bit-Schlüssellängen, ECC 256-Bit-Schlüssellängen, SHA-384-Nachrichtenauthentifizierung und AES-256-Datenverschlüsselung.
Transaktionen in Azure Storage
Wenn Sie mit Azure Storage über das Azure-Portal interagieren, erfolgen alle Transaktionen über HTTPS. Für die Interaktion mit Azure Storage können Sie auch die Storage-REST-API über HTTPS verwenden. Sie können die Verwendung von HTTPS erzwingen, wenn Sie die REST-APIs aufrufen, indem Sie die Anforderung für die sichere Übertragung für das Speicherkonto aktivieren.
Shared Access Signatures (SAS), mit denen Sie den Zugriff auf Azure Storage-Objekte delegieren können, fügen Sie eine Option hinzu, um anzugeben, dass nur das HTTPS-Protokoll verwendet werden kann.
SMB-Verschlüsselung
SMB 3.0, der für den Zugriff auf Azure Files-Freigaben verwendet wird, die Verschlüsselung unterstützt und in Windows Server 2012 R2, Windows 8, Windows 8.1 und Windows 10 verfügbar ist. Er unterstützt den regionsübergreifenden Zugriff und den Zugriff auf dem Desktop.
VPN-Verschlüsselung
Sie können eine Verbindung mit Azure über ein virtuelles privates Netzwerk herstellen, das einen sicheren Tunnel erstellt, um den Datenschutz der daten zu schützen, die über das Netzwerk gesendet werden.
Azure-VPN-Gateways
Das Azure VPN-Gateway sendet verschlüsselten Datenverkehr zwischen Ihrem virtuellen Netzwerk und Ihrem lokalen Standort über eine öffentliche Verbindung oder zwischen virtuellen Netzwerken. Standort-zu-Standort-VPNs verwenden IPsec für die Transportverschlüsselung.
Point-to-Site-VPN-Verbindungen
Über Point-to-Site-VPN-Verbindungen können einzelne Clientcomputer auf ein virtuelles Azure-Netzwerk zugreifen. Das Secure Socket Tunneling Protocol (SSTP) erstellt den VPN-Tunnel. Weitere Informationen finden Sie unter Konfigurieren einer Punkt-zu-Standort-Verbindung mit einem virtuellen Netzwerk.
Site-to-Site-VPN-Verbindungen
Eine Standort-zu-Standort-VPN-Gatewayverbindung verbindet Ihr lokales Netzwerk mit einem virtuellen Azure-Netzwerk über einen IPsec/IKE VPN-Tunnel. Weitere Informationen finden Sie unter Erstellen einer Standort-zu-Standort-Verbindung.
Schlüsselverwaltung mit Key Vault
Ohne ordnungsgemäßen Schutz und Die Verwaltung von Schlüsseln ist die Verschlüsselung nutzlos. Azure bietet mehrere Schlüsselverwaltungslösungen, darunter Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM und Azure Payment HSM.
Key Vault entfernt die Notwendigkeit, Hardwaresicherheitsmodule (HARDWARE Security Modules, HSMs) und Schlüsselverwaltungssoftware zu konfigurieren, zu patchen und zu verwalten. Mithilfe von Key Vault verwalten Sie die Kontrolle – Microsoft sieht Ihre Schlüssel nie, und Anwendungen haben keinen direkten Zugriff darauf. Sie können zudem Schlüssel in HSMs importieren oder generieren.
Weitere Informationen zur Schlüsselverwaltung in Azure finden Sie unter Schlüsselverwaltung in Azure.