Verschlüsselung in der Microsoft-Cloud

  • Artikel

Kundendaten in den Unternehmensclouddiensten von Microsoft werden durch verschiedene Technologien und Prozesse geschützt, einschließlich verschiedener Verschlüsselungsformen. (Kundendaten in diesem Dokument umfassen Exchange Online Postfachinhalte, E-Mail-Text, Kalendereinträge und den Inhalt von E-Mail-Anlagen sowie ggf. Skype for Business Inhalte, SharePoint Online-Websiteinhalte und die auf Websites gespeicherten Dateien sowie dateien, die in OneDrive for Business oder Skype for Business.) Microsoft verwendet mehrere Verschlüsselungsmethoden, Protokolle und Verschlüsselungen für seine Produkte und Dienste, um einen sicheren Weg für Kundendaten zu bieten, um unsere Clouddienste zu durchlaufen, und um die Vertraulichkeit von Kundendaten zu schützen, die in unseren Clouddiensten gespeichert sind. Microsoft verwendet einige der stärksten und sichersten Verschlüsselungsprotokolle, die verfügbar sind, um Barrieren gegen nicht autorisierten Zugriff auf Kundendaten bereitzustellen. Eine ordnungsgemäße Schlüsselverwaltung ist auch ein wesentliches Element der bewährten Verschlüsselungsmethoden, und Microsoft arbeitet daran, sicherzustellen, dass alle von Microsoft verwalteten Verschlüsselungsschlüssel ordnungsgemäß geschützt sind.

Kundendaten, die in den Unternehmensclouddiensten von Microsoft gespeichert sind, werden durch eine oder mehrere Verschlüsselungsformen geschützt. (Die Überprüfung unserer Krypto-Richtlinie und deren Durchsetzung wird unabhängig von mehreren Prüfern von Drittanbietern überprüft, und Berichte über diese Audits sind im Service Trust Portal verfügbar.)

Microsoft bietet dienstseitige Technologien, mit denen ruhende und übertragungsbasierte Kundendaten verschlüsselt werden. Für ruhende Kundendaten verwendet Microsoft Azure beispielsweise BitLocker und DM-Crypt, und Microsoft 365 verwendet BitLocker, Azure Storage Service Encryption, Distributed Key Manager (DKM) und Microsoft 365-Dienstverschlüsselung. Für Kundendaten während der Übertragung verwenden Azure, Office 365, Microsoft Commercial Support, Microsoft Dynamics 365, Microsoft Power BI und Visual Studio Team Services branchenübliche sichere Transportprotokolle wie Internet Protocol Security (IPsec) und Transport Layer Security (TLS) zwischen Microsoft-Rechenzentren und zwischen Benutzergeräten und Microsoft-Rechenzentren.

Neben der von Microsoft bereitgestellten Basisebene der kryptografischen Sicherheit bieten unsere Clouddienste auch Kryptografieoptionen, die Sie verwalten können. Beispielsweise können Sie die Verschlüsselung für den Datenverkehr zwischen ihren virtuellen Azure-Computern (VMs) und ihren Benutzern aktivieren. Mit Virtuellen Azure-Netzwerken können Sie das IPsec-Protokoll nach Branchenstandard verwenden, um Datenverkehr zwischen Ihrem UNTERNEHMENS-VPN-Gateway und Azure zu verschlüsseln. Sie können auch den Datenverkehr zwischen den VMs in Ihrem virtuellen Netzwerk verschlüsseln. Darüber hinaus können Sie mit neuen Office 365 Nachrichtenverschlüsselungsfunktionen verschlüsselte E-Mails an beliebige Personen senden.

Gemäß dem Public Key Infrastructure Operational Security Standard, der eine Komponente der Microsoft-Sicherheitsrichtlinie ist, verwendet Microsoft die kryptografischen Funktionen, die im Windows-Betriebssystem für Zertifikate und Authentifizierungsmechanismen enthalten sind. Zu diesen Mechanismen gehört die Verwendung von Kryptografiemodulen, die dem FIPS-Standard 140-2 ( Federal Information Processing Standards ) der US-Regierung entsprechen. Sie können die relevanten NIST-Zertifikatnummern für Microsoft mithilfe des CMVP für das Kryptografiemodulvalidierungsprogramm suchen.

[HINWEIS] Um auf die Microsoft-Sicherheitsrichtlinie als Ressource zugreifen zu können, müssen Sie sich mit Ihrem Geschäfts-, Schul- oder Unikonto anmelden. Wenn Sie noch kein Abonnement haben, können Sie sich für eine kostenlose Testversion registrieren.

FIPS 140-2 ist ein Standard, der speziell für die Validierung von Produktmodulen entwickelt wurde, die Kryptografie anstelle der Produkte implementieren, die sie verwenden. Kryptografische Module, die in einem Dienst implementiert werden, können zertifiziert werden, da sie die Anforderungen an Hashstärke, Schlüsselverwaltung und ähnliches erfüllen. Die kryptografischen Module und Verschlüsselungen, die zum Schutz der Vertraulichkeit, Integrität oder Verfügbarkeit von Daten in den Clouddiensten von Microsoft verwendet werden, entsprechen dem FIPS 140-2-Standard.

Microsoft zertifiziert die zugrunde liegenden kryptografischen Module, die in unseren Clouddiensten verwendet werden, mit jeder neuen Version des Windows-Betriebssystems:

  • Azure und Azure U.S. Government
  • Dynamics 365 und Dynamics 365 U.S. Government
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense

Die Verschlüsselung ruhender Kundendaten wird von mehreren dienstseitigen Technologien bereitgestellt, einschließlich BitLocker, DKM, Azure Storage Service Encryption und Dienstverschlüsselung in Exchange Online, Skype for Business, OneDrive for Business und SharePoint Online. Office 365 Dienstverschlüsselung umfasst eine Option zur Verwendung von kundenseitig verwalteten Verschlüsselungsschlüsseln, die in Azure Key Vault gespeichert sind. Diese kundenseitig verwaltete Schlüsseloption, die als Kundenschlüssel bezeichnet wird, ist für Exchange Online, SharePoint Online, Skype for Business und OneDrive for Business verfügbar.

Für Kundendaten während der Übertragung verhandeln alle Office 365 Server sichere Sitzungen mithilfe von TLS standardmäßig mit Clientcomputern aus, um Kundendaten zu schützen. Beispielsweise werden Office 365 sichere Sitzungen mit Skype for Business, Outlook und Outlook im Web, mobilen Clients und Webbrowsern aushandeln.

(Alle kundenseitigen Server verhandeln standardmäßig mit TLS 1.2.)

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.