Speicher, Daten und Verschlüsselung

Der Schutz ruhender Daten ist erforderlich, um die Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit für alle Workloads aufrechtzuerhalten. Der Speicher in einem Clouddienst wie Azure weist eine andere Architektur und Implementierung auf als es bei lokalen Lösungen der Fall ist, um eine umfangreiche Skalierung, modernen Zugriff über Rest-APIs und Isolation zwischen Mandanten zu ermöglichen.

Der Zugriff auf den Azure-Speicher kann über Azure Active Directory (Azure AD) sowie über schlüsselbasierte Authentifizierungsmechanismen (Symmetric Shared Key Authentication oder Shared Access Signature (SAS)) gewährt werden.

Der Speicher in Azure weist eine Reihe systemeigener Attribute des Sicherheitsdesigns auf:

  • Alle Daten werden vom Dienst verschlüsselt.

  • Daten im Speichersystem können nicht von einem Mandanten gelesen werden, wenn sie nicht auch von diesem Mandanten geschrieben wurden (um das Risiko mandantenübergreifender Datenlecks zu mindern).

  • Daten verbleiben nur in der von Ihnen ausgewählten Region.

  • Das System verwaltet drei synchrone Kopien von Daten in der von Ihnen ausgewählten Region.

  • Eine ausführliche Aktivitätsprotokollierung ist auf Abonnementbasis verfügbar.

Es können zusätzliche Sicherheitsfeatures konfiguriert werden, z.B. eine Speicherfirewall, um eine zusätzliche Ebene der Zugriffssteuerung bereitzustellen, sowie Schutz vor Speicherbedrohungen, um abweichende Zugriffe und Aktivitäten zu erkennen.

Die Verschlüsselung ist ein leistungsfähiges Tool für die Sicherheit, doch ist es wichtig, deren Grenzen in Bezug auf den Schutz von Daten zu verstehen. Ähnlich wie bei einem Safe beschränkt die Verschlüsselung den Zugriff auf diejenigen, die im Besitz eines kleinen Elements (eines mathematischen Schlüssels) sind. Obwohl es einfacher ist, den Besitz von Schlüsseln zu schützen als größere Datasets, ist es unerlässlich, dass Sie geeignete Schutzmaßnahmen für die Schlüssel bereitstellen. Der Schutz kryptografischer Schlüssel ist kein natürlicher, intuitiver menschlicher Vorgang (vor allem, weil elektronische Daten wie Schlüssel ohne forensische Beweisführung perfekt kopiert werden können), sodass er häufig übersehen oder unzureichend implementiert wird.

Während die Verschlüsselung auf vielen Ebenen in Azure verfügbar (und häufig standardmäßig aktiviert) ist, haben wir die Ebenen ermittelt, die am wichtigsten zu implementieren sind (hohes Potenzial für Datentransfer auf ein anderes Speichermedium) und am einfachsten zu implementieren sind (nahezu kein Mehraufwand).

Verwenden identitätsbasierter Speicherzugriffssteuerungen

Clouddienstanbieter stellen mehrere Zugriffssteuerungsmethoden für Speicherressourcen zur Verfügung. Beispiele hierfür sind gemeinsam verwendete Schlüssel, gemeinsam verwendete Signaturen, anonymer Zugriff und auf dem Identitätsanbieter basierende Methoden.

Authentifizierungs- und Autorisierungsmethoden der Identitätsanbieter weisen die geringste Gefährdung auf und ermöglichen eine präzisere rollenbasierte Zugriffssteuerung für Speicherressourcen.

Es wird empfohlen, eine identitätsbasierte Option für die Speicherzugriffssteuerung zu verwenden.

Ein Beispiel hierfür ist die Azure Active Directory-Authentifizierung bei Azure-Blob- und Warteschlangendiensten.

Verschlüsseln virtueller Datenträgerdateien

Virtuelle Computer verwenden virtuelle Datenträgerdateien als virtuelle Speichervolumes und befinden sich im Blobspeichersystem eines Clouddienstanbieters. Diese Dateien können von lokalen Speicherorten in Cloudsysteme, von Cloudsystemen an lokale Speicherorte oder zwischen Cloudsystemen verschoben werden. Aufgrund der Mobilität dieser Dateien müssen Sie sicherstellen, dass keine nicht autorisierten Benutzer auf die Dateien und ihre Inhalte zugreifen können.

Authentifizierungsbasierte Zugriffssteuerungen sollten vorhanden sein, um zu verhindern, dass potenzielle Angreifer die Dateien auf ihre eigenen Systeme herunterladen. Für den Fall eines Fehlers im Authentifizierungs- und Autorisierungssystem oder in dessen Konfiguration benötigen Sie einen Sicherungsmechanismus zum Sichern der virtuellen Datenträgerdateien.

Sie können die virtuellen Datenträgerdateien verschlüsseln, um zu verhindern, dass Angreifer Zugriff auf den Inhalt dieser Dateien erhalten, falls ein Angreifer in der Lage ist, sie herunterzuladen. Wenn Angreifer versuchen, eine verschlüsselte Datenträgerdatei bereitzustellen, ist dies aufgrund der Verschlüsselung nicht möglich.

Es wird empfohlen, die Verschlüsselung virtueller Datenträger zu aktivieren.

Ein Beispiel für die Verschlüsselung virtueller Datenträger ist Azure Disk Encryption.

Aktivieren von Plattformverschlüsselungsdiensten

Alle Anbieter öffentlicher Clouddienste ermöglichen eine Verschlüsselung, die automatisch über vom Anbieter verwaltete Schlüssel auf ihrer Plattform erfolgt. In vielen Fällen wird dies für den Kunden vorgenommen, und es ist keine Benutzerinteraktion erforderlich. In anderen Fällen bietet der Anbieter dies als eine Option an, die der Kunde wahlweise verwenden oder nicht verwenden kann.

Es ist fast gar kein Aufwand, diese Art der Verschlüsselung zu aktivieren, da sie vom Clouddienstanbieter verwaltet wird.

Es wird empfohlen, diese Option für jeden Dienst zu aktivieren, der eine Verschlüsselung durch den Dienstanbieter unterstützt.

Ein Beispiel für eine dienstspezifische Verschlüsselung durch den Dienstanbieter ist Azure Storage Service Encryption.

Nächste Schritte

Weitere Sicherheitsempfehlungen von Microsoft finden Sie in der Microsoft-Sicherheitsdokumentation.