Verschlüsselung und Schlüsselverwaltung (Übersicht)
Welche Rolle spielt verschlüsselung beim Schutz von Kundeninhalten?
Die meisten Microsoft Business Cloud Services sind mehrinstanzenfähig, was bedeutet, dass Kundeninhalte auf derselben physischen Hardware wie andere Kunden gespeichert werden können. Um die Vertraulichkeit von Kundeninhalten zu schützen, Onlinedienste Microsoft alle ruhenden und übertragenen Daten mit einigen der stärksten und sichersten verfügbaren Verschlüsselungsprotokolle verschlüsseln.
Verschlüsselung ist kein Ersatz für starke Zugriffssteuerungen. Die Microsoft-Zugriffssteuerungsrichtlinie von Zero Standing Access (ZSA) schützt Kundeninhalte vor unbefugtem Zugriff durch Microsoft-Mitarbeiter. Verschlüsselung ergänzt die Zugriffssteuerung, indem sie die Vertraulichkeit von Kundeninhalten überall dort schützt, wo sie gespeichert sind, und indem verhindert wird, dass Inhalte während der Übertragung zwischen Microsoft Onlinedienste-Systemen oder zwischen Microsoft Onlinedienste und dem Kunden gelesen werden.
Wie verschlüsselt Microsoft Onlinedienste ruhende Daten?
Alle Kundeninhalte in Microsoft Onlinedienste sind durch eine oder mehrere Verschlüsselungsformen geschützt. Microsoft-Server verwenden BitLocker, um die Datenträgerlaufwerke mit Kundeninhalten auf Volumeebene zu verschlüsseln. Die von BitLocker bereitgestellte Verschlüsselung schützt Kundeninhalte, wenn es bei anderen Prozessen oder Kontrollen (z. B. Zugriffssteuerung oder Wiederverwendung von Hardware) zu Einem fehlerhaften physischen Zugriff auf Datenträger mit Kundeninhalten kommen kann.
Zusätzlich zur Verschlüsselung auf Volumeebene Onlinedienste Microsoft Verschlüsselung auf Anwendungsebene verwenden, um Kundeninhalte zu verschlüsseln. Die Dienstverschlüsselung bietet Zusätzlich zu starkem Verschlüsselungsschutz auch Rechteschutz- und Verwaltungsfunktionen. Es ermöglicht auch die Trennung zwischen Windows-Betriebssystemen und den Kundendaten, die von diesen Betriebssystemen gespeichert oder verarbeitet werden.
Wie verschlüsselt Microsoft Onlinedienste Daten während der Übertragung?
Microsoft Onlinedienste starke Transportprotokolle wie Transport Layer Security (TLS) verwenden, um zu verhindern, dass nicht autorisierte Parteien Kundendaten abhören, während sie über ein Netzwerk verschoben werden. Beispiele für Daten während der Übertragung sind E-Mail-Nachrichten, die gerade übermittelt werden, Unterhaltungen, die in einer Onlinebesprechung stattfinden, oder Dateien, die zwischen Rechenzentren repliziert werden.
Bei Microsoft Onlinedienste gelten Daten immer dann als "übertragen", wenn das Gerät eines Benutzers mit einem Microsoft-Server kommuniziert oder ein Microsoft-Server mit einem anderen Server kommuniziert.
Wie verwaltet Microsoft Onlinedienste die für die Verschlüsselung verwendeten Schlüssel?
Eine starke Verschlüsselung ist nur so sicher wie die Schlüssel, die zum Verschlüsseln von Daten verwendet werden. Microsoft verwendet eigene Sicherheitszertifikate und zugehörige Schlüssel, um TLS-Verbindungen für die Übertragung von Daten zu verschlüsseln. Für ruhende Daten werden bitLocker-geschützte Volumes mit einem vollständigen Volumeverschlüsselungsschlüssel verschlüsselt, der mit einem Volumeschlüssel master schlüssel verschlüsselt ist, der wiederum an das Trusted Platform Module (TPM) auf dem Server gebunden ist. BitLocker verwendet FIPS 140-2-konforme Algorithmen, um sicherzustellen, dass Verschlüsselungsschlüssel niemals im Klaren gespeichert oder über das Netzwerk gesendet werden.
Die Dienstverschlüsselung bietet eine weitere Verschlüsselungsebene für ruhende Daten von Kunden, sodass Kunden zwei Optionen für die Verwaltung von Verschlüsselungsschlüsseln haben: von Microsoft verwaltete Schlüssel oder Kundenschlüssel. Bei Verwendung von von Microsoft verwalteten Schlüsseln Onlinedienste Microsoft die für die Dienstverschlüsselung verwendeten Stammschlüssel automatisch generieren und sicher speichern.
Kunden mit Anforderungen zum Steuern ihrer eigenen Stammverschlüsselungsschlüssel können die Dienstverschlüsselung mit Dem Microsoft Purview-Kundenschlüssel verwenden. Mithilfe des Kundenschlüssels können Kunden ihre eigenen kryptografischen Schlüssel entweder mithilfe eines lokalen Hardwaredienstmoduls (HSM) oder azure Key Vault (AKV) generieren. Kundenstammschlüssel werden in AKV gespeichert, wo sie als Stamm eines der Keychains verwendet werden können, der Kundenpostfachdaten oder -dateien verschlüsselt. Auf Kundenstammschlüssel kann nur indirekt über den Microsoft-Onlinedienstcode für die Datenverschlüsselung zugegriffen werden, und microsoft-Mitarbeiter können nicht direkt darauf zugreifen.
Verwandte externe Vorschriften & Zertifizierungen
Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. In der folgenden Tabelle finden Sie Informationen zur Überprüfung von Steuerelementen im Zusammenhang mit Verschlüsselung und Schlüsselverwaltung.
Azure und Dynamics 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
|
ISO 27001 Erklärung der Anwendbarkeit Zertifikat |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
8. April 2024 |
|
ISO 27017 Erklärung der Anwendbarkeit Zertifikat |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
8. April 2024 |
|
ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A.11.6: Verschlüsselung von personenbezogenen Daten, die über öffentliche Datenübertragungsnetze übertragen werden | 8. April 2024 |
|
SOC 1 SOC 2 SOC 3 |
DS-1: Sichere Speicherung kryptografischer Zertifikate und Schlüssel DS-2: Kundendaten werden während der Übertragung verschlüsselt DS-3: Interne Kommunikation von Azure-Komponenten, die während der Übertragung verschlüsselt sind DS-4: Kryptografische Steuerelemente und Verfahren |
Dienstag, 16. August 2024 |
Microsoft 365
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
| FedRAMP | SC-8: Vertraulichkeit und Integrität der Übertragung SC-13: Verwendung von Kryptografie SC-28: Schutz ruhender Informationen |
Dienstag, 21. August 2024 |
|
ISO 27001/27017 Erklärung der Anwendbarkeit Zertifizierung (27001) Zertifizierung (27017) |
A.10.1: Kryptografische Steuerelemente A.18.1.5: Kryptografische Steuerelemente |
März 2022 |
|
ISO 27018 Erklärung der Anwendbarkeit Zertifikat |
A.11.6: Verschlüsselung von personenbezogenen Daten, die über öffentliche Datenübertragungsnetze übertragen werden | März 2022 |
| SOC 2 | CA-44: Verschlüsselung von Daten während der Übertragung CA-54: Verschlüsselung ruhender Daten CA-62: Postfachverschlüsselung für Kundenschlüssel CA-63: Löschen von Kundenschlüsseldaten CA-64: Kundenschlüssel |
23. Januar 2024 |
| SOC 3 | CUEC-16: Kundenverschlüsselungsschlüssel CUEC-17: Kundenschlüsseltresor CUEC-18: Kundenschlüsselrotation |
23. Januar 2024 |