:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Azure Key Vault von Microsoft Verschlüsselung in der Cloud
Der neue Cloud-Dienst Azure Key Vault von Microsoft soll dabei helfen sensible Daten in der Cloud zu verschlüsseln und den Schlüssel auch selbst aufzubewahren. Die lokale Speicherung von Schlüsseln ist nicht mehr notwendig und Cloud-Anwendungen, die verschlüsselt funktionieren, können direkt mit Azure Key Vault zusammenarbeiten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Im Rahmen der Verschlüsselung und sicheren Aufbewahrung der Schlüssel arbeitet Microsoft Azure Key Vault auch mit anderen Diensten in Microsoft Azure zusammen, zum Beispiel Azure Active Directory. Die Anwendungen, die Zugriff auf verschlüsselte Daten erhalten sollen, zum Beispiel in verschlüsselten Datenbanken, erhalten keinerlei Zugriffe auf den Schlüssel dahinter. Auch Microsoft, NSA oder andere Stellen können die Schlüssel nicht sehen. Auf Dauer möchte Microsoft in Key Vault auch die Schlüssel für lokale Dienste anbieten, nicht nur verschlüsselte Daten in der Cloud.
Nur der Anwender, der seine Daten in der Cloud verschlüsselt hat, kann auf seinen Schlüssel in Azure Key Vault zugreifen. Wer die Schlüssel verwendet ist in Microsoft Azure durch die Logdateien einsehbar. Die Kosten von Microsoft Azure Key Vault hängen davon ab, welche und wieviele Daten verschlüsselt werden. Die Einrichtung der Umgebung zeigt Microsoft in der Dokumentation zu Microsoft Azure Key Vault. Die Einrichtung ist schnell abgeschlossen, was ein deutlicher Vorteil gegenüber lokal betriebenen Hardware Security Module (HSM) darstellt.
Die Verschlüsselung in Key Vault erfolgt laut Microsoft nach den Federal- Information-Process-Standard (FIPS)-140-2 Level 2-Richtlinien für Sicherheit sowie der Common-Criteria-EAL4+ -Zertifizierung.
Darum ist Azure Key Vault sinnvoll
Die zentrale Aufgabe von Azure Key Vault besteht darin, dass Schlüssel für die Verschlüsselung und Kennwörter an einer zentralen Stelle sicher speicherbar und jederzeit abrufbar sind. Je mehr verschlüsselte Daten Anwender oder Unternehmen benötigen, und damit auch Schlüssel aufbewahren müssen, desto sinnvoller ist eine zentrale Speicherung der Schlüssel. Das erfolgt in Unternehmen meistens in speziellen Appliances, Hardware Security Module (HSM) genannt. Dort werden alle Schlüssel und Kennwörter abgelegt, die im Unternehmen zur Entschlüsselung von Workloads oder Clouddiensten benötigt werden. Die Verwaltung dieser teuren Geräte ist kompliziert und nicht alle Endanwendungen oder Cloud-Dienste unterstützen ein HSM. Hardware Security Module müssen erworben, lizenziert, implementiert, verwaltet und gesichert werden. Dazu kommen Leistungsprobleme, wenn mehrere Benutzer gleichzeitig Zugriff auf die Entschlüsselungsschlüssel nehmen wollen.
Azure Key Vault lagert die Funktionen solcher HSMs in die Cloud und ermöglicht dadurch verschiedenen Cloud-Anwendungen Daten zu entschlüsseln und zu verschlüsseln. Durch die sichere Aufbewahrung des Schlüssels, lässt sich die Sicherheit sensibler Daten deutlich erhöhen, ohne gleichzeitig die Komplexität für Anwender zu erhöhen. Unternehmen können sich damit den Betrieb von HSMs ersparen.
SQL Server und VMs sicher verschlüsseln
Sinnvolles Einsatzgebiet ist die SQL-Server-Verschlüsselung und die Verwendung von Transparent Data Encryption (TDE), zusammen mit VMs in Microsoft Azure, die auf SQL Server 2014/2016 setzen. Zusätzlich lassen sich auch VMs in Microsoft Azure durch Key Vault effizient verschlüsseln und dadurch sicher betreiben. Vor allem bei der Verwendung sensibler Daten oder für Big Data-Umgebungen ist ein solcher Schutz sinnvoll. Da sich Key Vault selbst gut skalieren kann, sinkt die Abfrageleistung eines virtuellen SQL-Servers nicht, wenn die Daten entschlüsselt werden müssen. Solche Vorgänge sind bei lokalen HSM-Appliances wesentlich teurer und komplizierter umzusetzen.
Auch die virtuellen Festplatten von VMs in Microsoft Azure lassen sich mit Azure Key Vault nutzen. Die Azure Disk Encryption arbeitet also bereits mit Azure Key Vault zusammen. Verwalten lässt sich der Dienst über das Azure-Portal oder mit der PowerShell. Dadurch lassen sich auch Skripte erstellen, mit denen Administratoren schneller und einfacher Schlüsselspeicher erstellen können. In der Azure-PowerShell stehen dazu neue CMDlets zur Verfügung. Um einen neuen Key Vault anzulegen, verwenden Sie zum Beispiel:
New-AzureRmKeyVault -VaultName 'ContosoKeyVault' -ResourceGroupName 'ContosoResourceGroup' -Location 'East Asia'Die ausführliche Vorgehensweise dazu ist in der Dokumentation von Microsoft Azure zu lesen.
CloudLink Secure VM und Azure Key Vault
Als zentrales Element zum Verschlüsseln von virtuellen Festplatten kann in Microsoft Azure die CloudLink Secure VM genutzt werden. Mit dieser VM lassen sich Festplatten auf Basis von Bitlocker, aber auch mit Linux-Verschlüsselung verschlüsselt werden. Die Schlüssel bleiben standardmäßig innerhalb der CloudLink-VM gespeichert, lassen sich jetzt aber in Azure Key Vault ablegen. Zusammen mit Azure Key Vault und CloudLink Secure VM können Unternehmen VMs zentral verschlüsseln, und zwar mit den Bordmitteln im Betriebssystem.
Die Verwaltung erfolgt ebenfalls zentral. Beim Starten einer VM meldet sich das Betriebssystem an der CloudLink-VM und fordert die Entschlüsselung an. Dazu arbeiten die virtuellen Server in Microsoft Azure auch mit virtuellen TPM-Chips. Die Entschlüsselung erfolgt automatisiert in Zusammenarbeit mit dem virtuellen Betriebssystem, der CloudLink-VM und mit Azure Key Vault. Das System unterstützt Windows und Linux, in den Varianten, die auch in Microsoft Azure verfügbar sind.
Always Encrypted in SQL Server 2016 und Azure SQL
Die neue Funktion „Always Encrypted“ in SQL Server 2016 und Azure SQL ermöglicht es, dass Daten in bestimmten Spalten generell immer verschlüsselt sind, auch wenn eine Anwendung Zugriff auf die Spalten nimmt. Sinnvoll ist das zum Beispiel für Kreditkartennummern oder anderen wichtigen Personalinformationen. Während in den Vorgängerversionen die Daten nur auf der Festplatte verschlüsseln konnten, haben Unternehmen mit SQL Server 2016 und Azure SQL auch die Möglichkeiten Daten während der Verwendung zu verschlüsseln. Das ist bei produktiver Anbindung der Cloud, vor allem Microsoft Azure, ein wichtiger Sicherheitsaspekt.
Auch bei der Verwendung von In-Memory-Technologien spielt die Sicherheit eine wichtige Rolle. Hier lassen sich jetzt ebenfalls Daten im laufenden Betrieb verschlüsseln, ohne dass die Leistung einbricht. In-Memory-Tabellen auf OLTP-Basis, unterstützen in SQL Server 2016 Transparente Datenverschlüsselung (TDE). Das heißt, auch im Arbeitsspeicher abgelegte Tabellen werden umfassend verschlüsselt. Die Schlüssel dazu lassen sich in Azure Key Vault ablegen.
Nutzen Entwickler verschlüsselte Daten mit lokalen SQL-Servern und replizieren diese über das Internet zur Cloud, werden die Daten zu keinem Zeitpunkt entschlüsselt. Das heißt, von der Speicherung, über die Replikation, bis hin zum Übertragen in die Cloud, bleiben die Daten verschlüsselt. Speichern Anwender zum Beispiel heikle Daten, wie Informationen von Patienten in einer Datenbank, lassen sich die Spalten verschlüsseln. Die Anwendungen, die auf diese Spalte zugreifen, können natürlich die verschlüsselten Daten verwenden, allerdings können Angreifer die abgefragten Daten nicht abfangen, da sie auch beim Übertragen zwischen Datenbank und Anwendung verschlüsselt bleiben. Die Anwendungen, die auf die verschlüsselten Daten zugreifen, erhalten den Zugriffsschlüssel. Der Schlüssel ist in der Anwendung gespeichert, auch Administratoren haben keinen Zugriff auf diesen Schlüssel. Erst in der Anwendung werden die Daten lesbar gemacht. Die Verbindung und Absicherung erfolgt durch Azure Key Vault.
Fazit
Unternehmen, die mit verschlüsselten Anwendungen oder hochsensiblen Daten in der Cloud arbeiten, profitieren von den Möglichkeiten mit Microsoft Azure Key Vault. Zusammen mit CloudLink Secure VM lassen sich hochsensible VMs zuverlässig mit Bordmitteln verschlüsseln, zentral verwalten und die Schlüssel sicher und ebenfalls zentral speichern. Es spielt dabei keine Rolle, ob in Microsoft Azure virtuelle Linux-Server oder Server auf Basis von Windows Server 2012 R2 oder Windows Server 2016 betrieben werden. Vor allem für virtuelle SQL-Server in Microsoft Azure bietet Azure Key Vault echte Vorteile.
Artikelfiles und Artikellinks
(ID:44311862)
:quality(80)/p7i.vogel.de/wcms/7b/f7/7bf732c96a478fe5eeeea05b4eb1d4f2/0112957009.jpeg "Wir zeigen 10 wichtige Tipps, wie man mit der PowerShell ganz einfach Daten verschlüsselt. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")