Speicher, Daten und VerschlüsselungStorage, data, and encryption

Der Schutz ruhender Daten ist erforderlich, um die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit für alle Workloads aufrechtzuerhalten.Protecting data at rest is required to maintain confidentiality, integrity, and availability assurances across all workloads. Der Speicher in einem Clouddienst wie Azure weist eine andere Architektur und Implementierung auf als es bei lokalen Lösungen der Fall ist, um eine umfangreiche Skalierung, modernen Zugriff über Rest-APIs und Isolation zwischen Mandanten zu ermöglichen.Storage in a cloud service like Azure is architected and implemented quite differently than on premises solutions to enable massive scaling, modern access through REST APIs, and isolation between tenants.

Der Zugriff auf den Azure-Speicher kann über Azure Active Directory (Azure AD) sowie über schlüsselbasierte Authentifizierungsmechanismen (Symmetric Shared Key Authentication oder Shared Access Signature (SAS)) gewährt werden.Granting access to Azure storage is possible through Azure Active Directory (Azure AD) as well as key based authentication mechanisms (Symmetric Shared Key Authentication, or Shared Access Signature (SAS))

Der Speicher in Azure weist eine Reihe systemeigener Attribute des Sicherheitsdesigns auf:Storage in Azure includes a number of native security design attributes

  • Alle Daten werden vom Dienst verschlüsselt.All data is encrypted by the service

  • Daten im Speichersystem können nicht von einem Mandanten gelesen werden, wenn sie nicht auch von diesem Mandanten geschrieben wurden (um das Risiko mandantenübergreifender Datenlecks zu mindern).Data in the storage system cannot be read by a tenant if it has not been written by that tenant (to mitigate the risk of cross tenant data leakage)

  • Daten verbleiben nur in der von Ihnen ausgewählten Region.Data will remain only in the region you choose

  • Das System verwaltet drei synchrone Kopien von Daten in der von Ihnen ausgewählten Region.The system maintains three synchronous copies of data in the region you choose.

  • Eine ausführliche Aktivitätsprotokollierung ist auf Abonnementbasis verfügbar.Detailed activity logging is available on an opt-in basis.

Es können zusätzliche Sicherheitsfeatures konfiguriert werden, z.B. eine Speicherfirewall, um eine zusätzliche Ebene der Zugriffssteuerung bereitzustellen, sowie Schutz vor Speicherbedrohungen, um abweichende Zugriffe und Aktivitäten zu erkennen.Additional security features can be configured such as a storage firewall to provide an additional layer of access control as well as storage threat protection to detect anomalous access and activities.

Die Verschlüsselung ist ein leistungsfähiges Tool für die Sicherheit, doch ist es wichtig, deren Grenzen in Bezug auf den Schutz von Daten zu verstehen.Encryption is a powerful tool for security, but it's critical to understand its limits in protecting data. Ähnlich wie bei einem Safe beschränkt die Verschlüsselung den Zugriff auf diejenigen, die im Besitz eines kleinen Elements (eines mathematischen Schlüssels) sind.Much like a safe, encryption restricts access to only those with possession of a small item (a mathematical key). Obwohl es einfacher ist, den Besitz von Schlüsseln zu schützen als größere Datasets, ist es unerlässlich, dass Sie geeignete Schutzmaßnahmen für die Schlüssel bereitstellen.While it's easier to protect possession of keys than larger datasets, it is imperative that you provide the appropriate protections for the keys. Der Schutz kryptografischer Schlüssel ist kein natürlicher, intuitiver menschlicher Vorgang (vor allem, weil elektronische Daten wie Schlüssel ohne forensische Beweisführung perfekt kopiert werden können), sodass er häufig übersehen oder unzureichend implementiert wird.Protecting cryptographic keys is not a natural intuitive human process (especially because electronic data like keys can be copied perfectly without a forensic evidence trail), so it is often overlooked or implemented poorly.

Während die Verschlüsselung auf vielen Ebenen in Azure verfügbar (und häufig standardmäßig aktiviert) ist, haben wir die Ebenen ermittelt, die am wichtigsten zu implementieren sind (hohes Potenzial für Datentransfer auf ein anderes Speichermedium) und am einfachsten zu implementieren sind (nahezu kein Mehraufwand).While encryption is available in many layers in Azure (and often on by default), we have identified the layers that are most important to implement (high potential for data to move to another storage medium) and are easiest to implement (near zero overhead).

Verwenden identitätsbasierter SpeicherzugriffssteuerungenUse Identity based storage access controls

Clouddienstanbieter stellen mehrere Zugriffssteuerungsmethoden für Speicherressourcen zur Verfügung.Cloud service providers make multiple methods of access control over storage resources available. Beispiele hierfür sind gemeinsam verwendete Schlüssel, gemeinsam verwendete Signaturen, anonymer Zugriff und auf dem Identitätsanbieter basierende Methoden.Examples include shared keys, shared signatures, anonymous access, and identity provider-based methods.

Authentifizierungs- und Autorisierungsmethoden der Identitätsanbieter weisen die geringste Gefährdung auf und ermöglichen eine präzisere rollenbasierte Zugriffssteuerung für Speicherressourcen.Identify provider methods of authentication and authorization are the least liable to compromise and enable more fine-grained role-based access controls over storage resources.

Es wird empfohlen, eine identitätsbasierte Option für die Speicherzugriffssteuerung zu verwenden.We recommend that you use an identity-based option for storage access control.

Ein Beispiel hierfür ist die Azure Active Directory-Authentifizierung bei Azure-Blob- und Warteschlangendiensten.An example of this is Azure Active Directory Authentication to Azure blob and queue services.

Verschlüsseln virtueller DatenträgerdateienEncrypt virtual disk files

Virtuelle Computer verwenden virtuelle Datenträgerdateien als virtuelle Speichervolumes und befinden sich im Blobspeichersystem eines Clouddienstanbieters.Virtual machines use virtual disk files as virtual storage volumes and exist in a cloud service provider’s blob storage system. Diese Dateien können von lokalen Speicherorten in Cloudsysteme, von Cloudsystemen an lokale Speicherorte oder zwischen Cloudsystemen verschoben werden.These files can be moved from on-premises to cloud systems, from cloud systems to on-premises, or between cloud systems. Aufgrund der Mobilität dieser Dateien müssen Sie sicherstellen, dass keine nicht autorisierten Benutzer auf die Dateien und ihre Inhalte zugreifen können.Due to the mobility of these files, you need to make sure the files and their contents are not accessible to unauthorized users.

Authentifizierungsbasierte Zugriffssteuerungen sollten vorhanden sein, um zu verhindern, dass potenzielle Angreifer die Dateien auf ihre eigenen Systeme herunterladen.Authentication-based access controls should be in place to prevent potential attackers from downloading the files to their own systems. Für den Fall eines Fehlers im Authentifizierungs- und Autorisierungssystem oder in dessen Konfiguration benötigen Sie einen Sicherungsmechanismus zum Sichern der virtuellen Datenträgerdateien.In the event of a flaw in the authentication and authorization system or its configuration, you want to have a backup mechanism to secure the virtual disk files.

Sie können die virtuellen Datenträgerdateien verschlüsseln, um zu verhindern, dass Angreifer Zugriff auf den Inhalt dieser Dateien erhalten, falls ein Angreifer in der Lage ist, sie herunterzuladen.You can encrypt the virtual disk files to help prevent attackers from gaining access to the contents of the disk files in the event that an attacker is able to download the files. Wenn Angreifer versuchen, eine verschlüsselte Datenträgerdatei bereitzustellen, ist dies aufgrund der Verschlüsselung nicht möglich.When attackers attempt to mount an encrypted disk file, they will not be able to because of the encryption.

Es wird empfohlen, die Verschlüsselung virtueller Datenträger zu aktivieren.We recommend that you enable virtual disk encryption.

Ein Beispiel für die Verschlüsselung virtueller Datenträger ist Azure Disk Encryption.An example of virtual disk encryption is Azure Disk Encryption.

Aktivieren von PlattformverschlüsselungsdienstenEnable platform encryption services

Alle Anbieter öffentlicher Clouddienste ermöglichen eine Verschlüsselung, die automatisch über vom Anbieter verwaltete Schlüssel auf ihrer Plattform erfolgt.All public cloud service providers enable encryption that is done automatically using provider-managed keys on their platform. In vielen Fällen wird dies für den Kunden vorgenommen, und es ist keine Benutzerinteraktion erforderlich.In many cases, this is done for the customer and no user interaction is required. In anderen Fällen bietet der Anbieter dies als eine Option an, die der Kunde wahlweise verwenden oder nicht verwenden kann.In other cases, the provider makes this an option that the customer can choose to use or not to use.

Es ist fast gar kein Aufwand, diese Art der Verschlüsselung zu aktivieren, da sie vom Clouddienstanbieter verwaltet wird.There is almost no overhead in enabling this type of encryption as it’s managed by the cloud service provider.

Es wird empfohlen, diese Option für jeden Dienst zu aktivieren, der eine Verschlüsselung durch den Dienstanbieter unterstützt.We recommend that for each service that supports service provider encryption that you enable that option.

Ein Beispiel für eine dienstspezifische Verschlüsselung durch den Dienstanbieter ist Azure Storage Service Encryption.An example of service-specific service provider encryption is Azure Storage Service encryption.