Verschlüsselung in der Microsoft Cloud (Microsoft 365, Microsoft Azure)

Bildquelle: YouTube

Verschlüsselung von Daten in der Übertragung (Data-In-Transfer): Microsoft verwendet die AES-256-Verschlüsselung und die Transport Layer Security (TLS), um Daten zu schützen, die zwischen verschiedenen Systemen oder Datenzentren übertragen werden. Diese Verschlüsselungstechnologien schützen Daten standardmässig vor unbefugtem Zugriff während der Übertragung.

Verschlüsselung von Daten im Ruhezustand (Data-At-Rest): Daten, die in der Microsoft Cloud gespeichert werden, werden standardmässig mit der Advanced Encryption Standard (AES) Verschlüsselung mit 256bit verschlüsselt. Diese Verschlüsselungstechnologie wird verwendet, um Dateien und andere Daten auf Festplatten oder in der Cloud zu schützen. Dies bezeichnet man auch als „Standardmässige Serverseitige Verschlüsselung“ (SSE). SSE ist immer aktiviert und kann nicht deaktiviert werden, da es sich um ein plattformübergreifendes Feature handelt.

Schlüsselverwaltung: Für die Schlüsselverwaltung gibt es die Möglichkeit entweder mit Hardware Security Modules (HSM) oder Azure Key Vault die Schlüssel zu schützen, die zur Verschlüsselung von Daten verwendet werden. Diese Technologien bieten eine zusätzliche Sicherheitsschicht, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf verschlüsselte Daten haben.

Insgesamt bietet die Microsoft Cloud eine robuste Sicherheitsinfrastruktur, die verschiedene Verschlüsselungstechnologien nutzt, um Daten zu schützen. Benutzer können sicher sein, dass ihre Daten in der Microsoft Cloud sicher sind und vor unbefugtem Zugriff geschützt werden.

Erweiterte Verschlüsselungen

Falls Unternehmen und Organisationen speziellen Compliance-Anforderungen unterliegen oder sonstige spezielle Datenschutzbedürfnisse aufweisen, bietet die Microsoft Cloud erweiterte Verschlüsselungsmöglichkeiten um diesen Anforderungen gerecht zu werden.

Folgend einige Beispiele dafür:

Customer Key

Mit Customer Key können Kunden und Kundinnen den Schlüssel zur Verschlüsselung ihrer Daten steuern. Die Kunden und Kundinnen können den Schlüssel in ihren eigenen Schlüsselspeicher legen und so die Kontrolle über ihre Daten behalten und an Flexibilität gewinnen. Es wird sichergestellt, dass nur autorisierte Benutzer auf die Daten zugreifen können.

Diese Funktion kann in Microsoft 365, Dynamics 365 und anderen Microsoft-Cloud-Diensten verwendet werden und bietet eine zusätzliche Schutzschicht für sensible Daten.

Compliance-Anforderungen wie HIPAA (Health Insurance Portability and Accountability Act) oder GDPR (General Data Protection Regulation) können durch die Unterstützung dieser Funktion erfüllt werden, falls dies mit den Standards nicht bereits der Fall ist.

Azure Confidential Computing

Azure Confidential Computing verwendet Hardware-Technologie, um Daten zu schützen und bietet eine zusätzliche Sicherheitsebene, um sicherzustellen, dass vertrauliche Daten nicht von unbefugten Personen eingesehen werden können.

Die Hardware-Technologie umfasst Intels Software Guard Extensions (SGX) und virtuelle TPMs (Trusted Platform Modules). Diese Technologien ermöglichen es Kunden und Kundinnen, ihre Daten in verschlüsselten Enklaven auszuführen, wodurch vertrauliche Daten vor unbefugtem Zugriff geschützt werden. Selbst Systemadministratoren oder Cloud-Anbieter haben keinen Zugriff auf die Daten.

Diese Funktion eignet sich besonders für erhöhte Compliance-Anforderungen in Branchen wie Gesundheitswesen oder Finanzdienstleistungen wie beispielsweise HIPAA, PCI DSS oder GDPR, da diese personenbezogene oder finanzielle Daten verarbeiten. Azure Confidental Computing ist aber auch in solchen Branchen kein MUSS und die Standard-Verschlüsselungen erfüllen oft bereits die Vorgaben.

Encryption in Azure

Es gibt zwei Ansätze wie zusätzliche Verschlüsselungen in Azure erstellt und verwaltet werden können: Über die Azure Disk Encryption (ADE) und mit Hilfe des Azure Disk Encryption Set (DES). Mixen kann man sie nicht. Der für die Zukunft bevorzugte Ansatz ist das Azure Disk Encryption Set (DES).

1) Azure Disk Encryption (ADE)

In Azure Disk Encryption gibt es zwei Arten der Verschlüsselung: BitLocker-Verschlüsselung für Windows VMs und DM-Crypt-Verschlüsselung für Linux-VMs. Beide Methoden verwenden den Advanced Encryption Standard (AES)-Algorithmus, um die Daten auf der Festplatte zu verschlüsseln.

Ausserdem, bietet Azure dabei zwei Arten von Verschlüsselungsschlüsseln: platform-managed keys (PMK) und customer-managed keys (CMK).

Bei PMKs werden die Verschlüsselungsschlüssel von Azure verwaltet. Alle Daten, einschließlich Festplatten, Snapshots und Images, werden automatisch verschlüsselt und gespeichert.

Bei CMKs verwaltet der Kunde die Verschlüsselungsschlüssel. Die Schlüssel werden in einem Azure Key Vault gespeichert, in den der Kunde seine eigenen RSA-Schlüssel importieren oder neue RSA-Schlüssel erstellen kann.

Ein Vorteil von Azure Disk Encryption ist, dass es vollständig automatisiert ist und einfach über das Azure-Portal oder Azure PowerShell aktiviert werden kann. So können Anwender ihre VMs mit minimalem Aufwand verschlüsseln, ohne dass zusätzliche Software oder Hardware benötigt wird.

Wichtig ist auch, dass Azure Disk Encryption keine Auswirkungen auf die Leistung der VM hat, da der Verschlüsselungsprozess vom Azure-Host durchgeführt wird. Das bedeutet, dass Anwender bei der Verwendung von Azure Disk Encryption keine Leistungseinbußen hinnehmen müssen.

ADE verschlüsselt Daten innerhalb des Betriebssystems, während SSE sie nur am Ende verschlüsselt. Also auf dem Storage.

2) Azure Disk Encryption Set (DES)

Das Azure Disk Encryption Set ist eine neue und vereinfachte Art der Schlüsselverwaltung in Azure. Wenn ein Festplattenverschlüsselungssatz erstellt wird, wird eine verwaltete Identität, welche dem System zugewiesen ist, in Azure Active Directory (AD) erstellt und mit dem Festplattenverschlüsselungssatz verknüpft.

Die Serverseitige Verschlüsselung verschlüsselt die Daten, die auf von Azure verwalteten Festplatten (Betriebssystem- und Datenfestplatten) gespeichert sind, standardmässig im Ruhezustand, wenn sie in der Cloud gespeichert werden. Mit dem Azure Disk Encryption Set können alle verwalteten Festplatten an einem zentralen Ort verwaltet werden. Festplattenverschlüsselungssets ermöglichen die Verwaltung von Verschlüsselungsschlüsseln mit serverseitiger Verschlüsselung für verwaltete Standard-HDD, Standard-SSD- und Premium-SSD-Festplatten. Die Daten auf den von Azure verwalteten Festplatten werden transparent mit 256-Bit-AES-Verschlüsselung verschlüsselt.

Verschlüsselung auf dem Host (Host based Encryption / Encryption at Host)

Zusätzlich – und das ist besonders relevant für den DES Ansatz – bietet Azure eine „Verschlüsselung auf dem Host“. Die „Verschlüsselung auf dem Host“ (auch Host based Encryption / Encryption at Host) vervollständigt den DES Ansatz dahingehend, dass Daten nicht nur „At Rest“ sondern auch „In Transfer“ verschlüsselt werden.

Aktiviert man die „Verschlüsselung auf dem Host“ beginnt die Verschlüsselung auf dem VM-Host selbst, also auf dem Azure-Server, dem die VM zugewiesen ist. Auf diesem VM-Host werden die Daten für den temporären Datenträger und die Betriebssystem- Datenträger-Caches gespeichert. Nach der Aktivierung der Verschlüsselung auf dem Host, werden alle diese Daten im Ruhezustand verschlüsselt und auch während der Übertragung zum Speicherdienst, wo sie schlussendlich gespeichert werden.

Serverseitige Verschlüsselung sowie Verschlüsselung auf dem Host unterstützen auf Wunsch „vom Kunden verwaltete Schlüssel“, ansonsten kommt der plattformverwaltete Schlüssel zum Einsatz.

Im Wesentlichen verschlüsselt die „Verschlüsselung auf dem Host“ die Daten end-to-end.