Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden bewährte Methoden für die Datensicherheit und -verschlüsselung beschrieben.
Die bewährten Methoden basieren auf einem Konsens und arbeiten mit den aktuellen Funktionen der Azure-Plattform. Meinungen und Technologien ändern sich im Laufe der Zeit. Dieser Artikel wird daher regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.
Dieser Artikel richtet sich an das Zero Trust-Sicherheitsmodell von Microsoft, das Daten als eine der kritischen Säulen behandelt, die Schutz in allen Phasen erfordern. Informationen zu präscriptiven Sicherheitskontrollen mit der Durchsetzung von Azure-Richtlinien finden Sie unter Microsoft Cloud Security Benchmark v2 – Datenschutz.
Schützen von Daten
Zum Schutz von Daten in der Cloud müssen Sie die möglichen Zustände berücksichtigen, in denen Ihre Daten auftreten können. Außerdem sollten Sie die Steuerungsmöglichkeiten beachten, die für diesen Zustand verfügbar sind. Bewährte Methoden für Datensicherheit und Verschlüsselung in Azure beziehen sich auf die folgenden Zustände von Daten:
- Im Ruhezustand: Dies umfasst alle Informationsspeicherobjekte, Container und Typen, die statisch auf physischen Medien vorhanden sind – egal ob Magnet- oder optische Datenträger.
- Im Transit: Wenn Daten zwischen Komponenten, Speicherorten oder Programmen übertragen werden, sind sie im Transit. Beispiele sind die Übertragung über das Netzwerk, über einen Service Bus (von dem lokalen Computer in die Cloud und umgekehrt, inklusive Hybridverbindungen wie ExpressRoute) oder während eines Eingabe-/Ausgabevorgangs.
- In Verwendung: Wenn Daten verarbeitet werden, halten die spezialisierten AMD- und Intel-Chipsatz-basierten Confidential Compute VMs die Daten im Speicher verschlüsselt, indem sie hardwareverwaltete Schlüssel verwenden.
Auswählen einer Schlüsselverwaltungslösung
Das Schützen Ihrer Schlüssel ist ausschlaggebend für den Schutz Ihrer Daten in der Cloud.
Azure bietet mehrere verschiedene Dienste zum Schutz Ihrer kryptografischen Schlüssel mithilfe von HSMs. Diese Angebote bieten Cloudskalierbarkeit und -verfügbarkeit, während Sie die vollständige Kontrolle über Ihre Schlüssel erhalten. Weitere Informationen und Anleitungen zur Auswahl dieser Schlüsselverwaltungsangebote finden Sie unter " Auswählen der richtigen Azure Key Management Solution". Azure Key Vault Premium oder Azure Key Vault Managed HSM werden für die Verwaltung Ihrer Verschlüsselung bei Ruheschlüsseln empfohlen.
Verwalten mit sicheren Arbeitsstationen
Hinweis
Der Abonnementadministrator oder -besitzer sollte eine Arbeitsstation mit sicherem Zugriff oder eine Arbeitsstation mit privilegiertem Zugriff verwenden.
Da die große Mehrzahl der Angriffe auf den Endbenutzer zielt, ist der Endpunkt einer der Hauptangriffspunkte. Ein Angreifer, der den Endpunkt kompromittiert, kann die Anmeldeinformationen des Benutzers verwenden, um Zugriff auf die Daten der Organisation zu erhalten. Die meisten Angriffe auf Endpunkte können sich zunutze machen, dass Benutzer Administratoren ihrer lokalen Arbeitsstationen sind.
Verwenden Sie eine sichere Verwaltungsarbeitsstation, um vertrauliche Konten, Aufgaben und Daten zu schützen: Verwenden Sie eine Arbeitsstation mit privilegiertem Zugriff , um die Angriffsfläche in Arbeitsstationen zu reduzieren. Diese sicheren Verwaltungsarbeitsstationen helfen Ihnen, einige dieser Angriffe zu minimieren und damit Ihre Daten sicherer zu machen.
Sicherstellen des Endpunktschutzes: Erzwingen Von Sicherheitsrichtlinien auf allen Geräten, die verwendet werden, um Daten zu nutzen, unabhängig vom Datenspeicherort (Cloud oder lokal).
Schutz der Daten im Ruhezustand
Die Verschlüsselung ruhender Daten ist eine obligatorische Maßnahme für Datenschutz, Compliance und Datenhoheit.
- Wenden Sie Verschlüsselung auf Host an, um Ihre Daten zu schützen: Verschlüsselung auf Host verwenden – End-to-End-Verschlüsselung für Ihre VM. Die Verschlüsselung am Host ist eine Option für virtuelle Maschinen, mit der die Azure-Disk-Storage-Server-Side-Verschlüsselung verbessert wird, um sicherzustellen, dass alle temporären Datenträger und Datenträger-Caches im Ruhezustand verschlüsselt sind und verschlüsselt an die Speichercluster übertragen werden.
Die meisten Azure-Dienste, z. B. Azure Storage und Azure SQL-Datenbank, verschlüsseln standardmäßig ruhende Daten. Mithilfe von Azure Key Vault können Sie die Kontrolle über Schlüssel für den Zugriff und das Verschlüsseln Ihrer Daten behalten. Weitere Informationen finden Sie unter Unterstützung für Verschlüsselungsmodelle von Azure-Ressourcenanbietern.
- Verwenden Sie verschlüsselung, um Risiken im Zusammenhang mit unbefugtem Datenzugriff zu minimieren: Verschlüsseln Sie Ihre Dienste, bevor Sie vertrauliche Daten in diese schreiben.
Organisationen, die keine Datenverschlüsselung erzwingen, sind anfälliger für Datenintegritätsprobleme. Unternehmen müssen außerdem nachweisen, dass sie gewissenhaft sind und die richtigen Sicherheitsprotokolle zur Verbesserung ihrer Datensicherheit verwenden, um den Branchenbestimmungen zu entsprechen.
Schützen der Daten während der Übertragung
Der Schutz von Daten während der Übertragung sollte ein wesentlicher Bestandteil Ihrer Datenschutzstrategie sein. Da die Daten zwischen vielen verschiedenen Speicherorten übertragen werden, wird generell empfohlen, immer SSL/TLS-Protokolle zu verwenden, um Daten zwischen verschiedenen Speicherorten auszutauschen. In einigen Fällen sollten Sie den gesamten Kommunikationskanal zwischen Ihrer lokalen und Ihrer Cloudinfrastruktur isolieren, indem Sie ein VPN verwenden.
Für Daten, die sich zwischen Ihrer lokalen Infrastruktur und Azure bewegen, sollten Sie passende Sicherheitsmaßnahmen in Betracht ziehen, beispielsweise HTTPS oder VPN. Beim Senden von verschlüsseltem Datenverkehr zwischen einem virtuellen Azure-Netzwerk und einem lokalen Standort über das öffentliche Internet verwenden Sie Azure VPN Gateway.
Nachfolgend sind bewährte Methoden für die Sicherheit bei Verwendung von Azure VPN Gateway, SSL/TLS und HTTPS aufgeführt.
Sicherer Zugriff von mehreren Arbeitsstationen, die lokal in einem virtuellen Azure-Netzwerk gespeichert sind: Verwenden Sie Standort-zu-Standort-VPN.
Sicherer Zugriff von einer einzelnen Arbeitsstation, die sich lokal auf ein virtuelles Azure-Netzwerk befindet: Verwenden Sie Point-to-Site-VPN.
Verschieben sie größere Datasets über eine dedizierte High-Speed-WAN-Verbindung: Verwenden Sie ExpressRoute. Falls Sie sich für die Verwendung von ExpressRoute entscheiden, können Sie die Daten auch auf Anwendungsebene verschlüsseln, indem Sie SSL/TLS oder andere Protokolle für zusätzlichen Schutz verwenden.
Interagieren Sie mit Azure Storage über das Azure-Portal: Alle Transaktionen erfolgen über HTTPS. Für die Interaktion mit Azure Storage können Sie auch die Storage-REST-API über HTTPS verwenden.
Organisationen, die die Daten während der Übertragung nicht schützen, sind anfälliger für Man-in-the-Middle-Angriffe, Abhöraktionen und Session Hijacking. Diese Angriffe können der erste Schritt sein, sich Zugriff auf vertrauliche Daten zu verschaffen.
Schützen von Daten während der Verwendung
Das Bedürfnis nach Vertrauen verringern Das Ausführen von Workloads in der Cloud erfordert Vertrauen. Sie bringen dieses Vertrauen mehreren Anbietern entgegen, um die Verwendung verschiedener Komponenten Ihrer Anwendung zu ermöglichen.
- Anbieter von App-Software: Vertrauen Sie auf Software, indem Sie sie lokal bereitstellen, Open Source verwenden oder unternehmensinterne Anwendungssoftware erstellen.
- Hardwareanbieter: Sie können Hardware vertrauen, indem Sie lokale oder interne Hardware verwenden.
- Infrastrukturanbieter: Sie können Cloudanbietern vertrauen oder Ihre eigenen lokalen Rechenzentren verwalten.
Verkleinern der Angriffsfläche Die vertrauenswürdige Rechenbasis (Trusted Computing Base, TCB) bezieht sich auf alle Hardware-, Firmware- und Softwarekomponenten eines Systems, die eine sichere Umgebung bereitstellen. Die Komponenten innerhalb der TCB werden als „kritisch“ eingestuft. Ist eine einzelne Komponente innerhalb der TCB kompromittiert, kann die Sicherheit des gesamten Systems gefährdet sein. Eine kleinere TCB bedeutet höhere Sicherheit. Es besteht eine geringere Gefahr durch verschiedene Sicherheitsrisiken, Schadsoftware, Angriffe und böswillige Personen.
Azure Confidential Computing kann Sie bei Folgendem unterstützen:
- Verhindern nicht autorisierter Zugriffe: Verwenden Sie vertrauliche Daten in der Cloud. Vertrauen Sie darauf, dass Azure den bestmöglichen Datenschutz bietet – mit wenigen bis gar keinen Änderungen im Vergleich zu aktuellen Maßnahmen.
- Einhaltung gesetzlicher Bestimmungen: Migrieren Sie zur Cloud, und behalten Sie die volle Kontrolle über Daten, um behördliche Vorschriften zum Schutz von persönlichen Informationen und IP-Adressen der Organisation zu erfüllen.
- Gewährleisten Sie sichere und vertrauensunabhängige Zusammenarbeit: Bewältigen Sie branchenweite Herausforderungen, indem Sie Daten zwischen Organisationen, sogar Mitbewerbern, kombinieren, um umfassende Datenanalysen zu ermöglichen und tiefere Einblicke zu gewinnen.
- Isolierte Verarbeitung: Bieten Sie eine neue Reihe von Produkten an, die mittels Blindverarbeitung die Haftbarkeit für private Daten beseitigen. Benutzerdaten können nicht einmal vom Dienstanbieter abgerufen werden.
Weitere Informationen zu vertraulichem Computing.
Schützen von E-Mails, Dokumenten und vertraulichen Daten
Sie möchten E-Mails, Dokumente und vertrauliche Daten, die Sie außerhalb Ihres Unternehmens freigeben, kontrollieren und schützen. Azure Information Protection ist eine cloudbasierte Lösung, mit der eine Organisation ihre eigenen Dokumente und E-Mails klassifizieren, bezeichnen und schützen kann. Dies kann automatisch von Administratoren durchgeführt werden, die die Regeln und Bedingungen definieren, manuell durch Benutzer oder durch eine Kombination, bei der Benutzer Empfehlungen erhalten.
Die Klassifizierung ist jederzeit identifizierbar, unabhängig davon, wo die Daten gespeichert oder mit wem sie geteilt werden. Die Bezeichnungen umfassen visuelle Markierungen wie Kopfzeilen, Fußzeilen oder Wasserzeichen. Metadaten werden Dateien und E-Mail-Headern als Klartext hinzugefügt. Der Klartext stellt sicher, dass andere Dienste, z.B. Lösungen zum Verhindern von Datenverlust, die Klassifizierung identifizieren und entsprechende Maßnahmen ergreifen können.
Die Schutztechnologie nutzt Azure Rights Management (Azure RMS). Diese Technologie ist in andere Microsoft-Clouddienste und Anwendungen integriert, z. B. Microsoft 365 und Microsoft Entra ID. Diese Schutztechnologie verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien. Der Schutz, der durch Azure RMS angewendet wird, verbleibt innerhalb der Dokumente und E-Mails. Der Speicherort spielt dabei keine Rolle: innerhalb oder außerhalb Ihrer Organisation, Netzwerke, Dateiserver oder Anwendungen.
Mit dieser Lösung für den Schutz von Informationen behalten Sie die Kontrolle über Ihre Daten auch dann, wenn diese für andere Personen freigegeben werden. Sie können Azure RMS auch für Ihre eigenen Branchenanwendungen und Informationsschutzlösungen von Softwareanbietern verwenden, ganz gleich ob diese Anwendungen und Lösungen lokal oder in der Cloud bereitstehen.
Wir empfehlen Folgendes:
- Stellen Sie Azure Information Protection für Ihre Organisation bereit.
- Wenden Sie Bezeichnungen entsprechend Ihrer Geschäftsanforderungen an. Verwenden Sie beispielsweise die Bezeichnung „streng vertraulich“ für alle Dokumente und E-Mails, die streng vertrauliche Daten enthalten, um diese Daten zu klassifizieren und zu schützen. Dann können nur autorisierte Benutzer mit den von Ihnen angegebenen Einschränkungen auf diese Daten zugreifen.
- Konfigurieren Sie die Verwendungsprotokollierung für Azure RMS, damit Sie überwachen können, wie Ihre Organisation den Schutzdienst verwendet.
Organisationen, die in Hinsicht auf die Datenklassifizierung und den Dateischutz Schwächen haben, sind möglicherweise anfälliger für Datenlecks oder Datenmissbrauch. Mit geeignetem Dateischutz können Sie Datenflüsse analysieren, um Einblicke in Ihre Geschäftsabläufe zu erhalten, riskante Verhalten zu erkennen und Abhilfemaßnahmen zu ergreifen, den Zugriff auf Dokumente nachzuverfolgen usw.
Nächste Schritte
- Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.
- Lesen Sie die Microsoft Cloud Security Benchmark v2 – Datensicherheitskontrollen für umfassende Anleitung zur Datensicherheit mit Azure Policy-Zuordnungen.
- Erfahren Sie mehr über die Microsoft Secure Future Initiative (SFI), die bewährten Methoden für die interne Sicherheit von Microsoft zum Schutz von Daten, die wir kunden auch empfehlen.
- Erkunden Sie die Zero Trust-Bereitstellung für Daten , um Anleitungen zur Implementierung von Zero Trust-Prinzipien für den Datenschutz zu erhalten.