Verschlüsselungsoptionen für den Schutz virtueller Windows- und Linux-Computer
Angenommen, die Handelspartner Ihres Unternehmens verwenden Sicherheitsrichtlinien, die verlangen, dass ihre Handelsdaten durch eine starke Verschlüsselung geschützt sind. Sie verwenden eine B2B-Anwendung, die auf Ihren Windows-Servern ausgeführt wird, und Daten auf dem Serverdatenträger speichert. Jetzt, da Sie in die Cloud wechseln, müssen Sie Ihren Handelspartnern nachweisen, dass auf die auf Ihren Azure-VMs gespeicherten Daten nicht von unbefugten Benutzern, Geräten oder Anwendungen zugegriffen werden kann. Sie müssen sich für eine Strategie für die Implementierung der Verschlüsselung Ihrer B2B-Daten entscheiden.
Ihre Anforderungen an die Überprüfung schreiben dabei vor, dass Ihre Verschlüsselungsschlüssel nicht von einem Drittanbieter, sondern organisationsintern verwaltet werden müssen. Sie möchten außerdem sicherstellen, dass die Leistung und Verwaltbarkeit Ihrer Azure-basierten Server erhalten bleibt. Bevor Sie also die Verschlüsselung implementieren, müssen Sie sicherstellen, dass es nicht zu einem Leistungseinbruch kommt.
Was ist Verschlüsselung?
Bei Verschlüsselung geht es um die Konvertierung bedeutungshaltiger Informationen in etwas, das bedeutungslos erscheint, wie eine zufällige Abfolge von Buchstaben und Ziffern. Bei einer Verschlüsselung wird ein bestimmter Schlüssel als Teil des Algorithmus verwendet, der die verschlüsselten Daten erstellt. Für die Entschlüsselung wird ebenfalls ein Schlüssel benötigt. Bei symmetrischen Schlüsseln wird für die Verschlüsselung und Entschlüsselung der gleiche Schlüssel verwendet, während bei der asymmetrischen Verschlüsselung verschiedene Schlüssel verwendet werden. Ein Beispiel für die letztgenannte Variante ist ein Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel, das in digitalen Zertifikaten verwendet wird.
Symmetrische Verschlüsselung
Algorithmen, die symmetrische Schlüssel verwenden, wie etwa der Advanced Encryption Standard (AES), sind normalerweise schneller als Algorithmen mit einem öffentlichen Schlüssel und werden häufig für den Schutz großer Datenspeicher verwendet. Da es nur einen Schlüssel gibt, müssen Verfahren wirksam sein, die ein öffentliches Bekanntwerden des Schlüssels verhindern.
Asymmetrische Verschlüsselung
Bei asymmetrischen Algorithmen muss nur das private Schlüsselelement des Paars privat und sicher verwahrt werden. Wie es der Name suggeriert, kann der öffentliche Schlüssel jedem zur Verfügung gestellt werden, ohne dass die verschlüsselten Daten dadurch gefährdet würden. Der Nachteil von Algorithmen mit öffentlichen Schlüsseln besteht jedoch darin, dass sie langsamer sind als symmetrische Algorithmen und nicht zur Verschlüsselung großer Datenmengen verwendet werden können.
Schlüsselverwaltung
In Azure können Microsoft oder die Kundschaft Ihre Verschlüsselungsschlüssel verwalten. Die Nachfrage nach kundenseitig verwalteten Schlüsseln geht häufig von Organisationen aus, die ihre Konformität mit HIPAA oder anderen Bestimmungen nachweisen müssen. Diese Konformität kann es erforderlich machen, dass der Zugriff auf Schlüssel protokolliert wird und dass regelmäßige Schlüsseländerungen erfolgen, die ihrerseits erfasst werden.
Azure-Technologien zur Datenträgerverschlüsselung
Die wichtigsten verschlüsselungsbasierten Technologien zum Schutz von Datenträgern für Azure-VMs sind:
- Azure-Speicherdienstverschlüsselung (SSE)
- Azure Disk Encryption (ADE)
SSE wird auf dem physischen Datenträger im Rechenzentrum ausgeführt. Bei einem Direktzugriff auf den physischen Datenträger wären die Daten verschlüsselt. Wenn über den Datenträger auf die Daten zugegriffen wird, sind diese verschlüsselt und in den Arbeitsspeicher geladen.
Azure Disk Encryption verschlüsselt die virtuellen Festplatte des virtuellen Computers (VHDs). Wenn eine virtuelle Festplatte mit Azure Disk Encryption verschlüsselt wird, kann nur über die VM auf das Datenträgerimage zugegriffen werden, zu der der Datenträger gehört.
Es ist möglich, beide Dienste zu verwenden, um Ihre Daten zu schützen.
Speicherdienstverschlüsselung
SSE ist ein in Azure integrierter Verschlüsselungsdienst, der zum Schutz von ruhenden Daten verwendet wird. Die Azure Storage-Plattform verschlüsselt Daten automatisch, bevor sie in verschiedenen Speicherdiensten gespeichert werden, darunter Azure Managed Disks. Die Verschlüsselung ist standardmäßig aktiviert. Als Algorithmus kommt AES mit 256 Bit zum Einsatz. Diese wird vom Administrator des Speicherkontos verwaltet.
SSE wird für alle neuen und vorhandenen Speicherkonten aktiviert und kann nicht deaktiviert werden. Ihre Daten werden standardmäßig geschützt, Sie müssen also weder Code noch Anwendungen anpassen, um SSE nutzen zu können.
SSE hat keine Auswirkungen auf die Leistung von Azure Storage-Diensten.
Azure Disk Encryption
Der Besitzer der VM (virtueller Computer) verwaltet ADE. Der Dienst steuert die Verschlüsselung von Windows- und Linux-VM-Datenträgern und verwendet dazu BitLocker auf Windows-VMs und DM-Crypt auf Linux-VMs. Die BitLocker-Laufwerkverschlüsselung ist ein Feature zum Schutz von Daten, das in das Betriebssystem integriert ist und der Bedrohung durch Datendiebstahl oder der Offenlegung durch verlorene, gestohlene oder unsachgemäß außer Betrieb gesetzte Computer entgegenwirkt. In ähnlicher Weise verschlüsselt DM-Crypt ruhende Daten für Linux vor dem Schreiben in den Speicher.
ADE stellt sicher, dass alle Daten auf den VM-Datenträgern im ruhenden Zustand im Azure-Speicher verschlüsselt werden. ADE ist für VMs erforderlich, die im Recovery-Tresor gesichert werden.
Bei der Verwendung von ADE werden beim Start von VMs die vom Kunden verwalteten Schlüssel und Richtlinien berücksichtigt. ADE ist in Azure Key Vault integriert, um die Verwaltung der Datenträger-Verschlüsselungsschlüssel zu vereinfachen.
Hinweis
ADE unterstützt nicht die Verschlüsselung von VMs im Basic-Tarif, und Sie können keinen lokalen Schlüsselverwaltungsdienst zusammen mit ADE verwenden.
Anwendungsfälle für Verschlüsselung
Computerdaten sind bei der Übermittlung (Übermittlung über das Internet oder andere Netzwerke) und im Ruhezustand (auf einem Speichergerät gespeichert) gefährdet. Dem Szenario der ruhenden Daten gilt beim Schutz von Daten auf Azure VM-Datenträgern das Hauptaugenmerk. Beispielsweise kann jemand die einer Azure-VM zugeordnete VHD-Datei (Virtual Hard Disk) herunterladen und sie auf seinem Laptop speichern. Wenn die VHD nicht verschlüsselt ist, kann im Prinzip jeder, der die VHD-Datei auf seinem Computer einbinden kann, auf die Inhalte der VHD zugreifen.
Für Betriebssystemdatenträger werden Daten wie Kennwörter automatisch verschlüsselt, sodass selbst bei nicht verschlüsselten VHDs der Zugriff auf diese Informationen nicht einfach ist. Darüber hinaus verschlüsseln Anwendungen möglicherweise ihre eigenen Daten. Wenn jedoch eine Person mit böswilligen Absichten Zugriff auf einen nicht verschlüsselten Datenträger erhält, kann sie trotz solcher Schutzmaßnahmen in der Lage sein, alle bekannten Schwachstellen beim Datenschutz der betreffenden Anwendung auszunutzen. Bei vorhandener Datenträgerverschlüsselung sind solche Exploits nicht möglich.
SSE ist Teil von Azure selbst und sollte zu keinen spürbaren Leistungseinbußen bei E/A-Vorgängen für VM-Datenträger führen. SSE wird mittlerweile standardmäßig für verwaltete Datenträger verwendet, und es sollte keinen Grund geben, diese Einstellung zu ändern. ADE nutzt Betriebssystemtools BitLocker und DM-Crypt der VM. Daher muss die VM bei der Ver- oder Entschlüsselung von VM-Datenträgern selbst ein gewisses Maß an Arbeit erbringen. Die Auswirkungen dieser zusätzlichen CPU-Aktivität der VM sind normalerweise unerheblich. Es gibt jedoch Ausnahmesituationen. Wenn Sie beispielsweise über eine CPU-intensive Anwendung verfügen, kann es sinnvoll sein, den Betriebssystemdatenträger unverschlüsselt zu lassen, um die Leistung zu maximieren. In einer solchen Situation können Sie die Anwendungsdaten auf einem separaten, verschlüsselten Datenträger speichern und so die erforderliche Leistung ohne Beeinträchtigung der Sicherheit erhalten.
Azure stellt zwei sich ergänzende Verschlüsselungstechnologien zur Verfügung, die zum Schützen von Azure-VM-Datenträgern verwendet werden. SSE und ADE verschlüsseln auf verschiedenen Ebenen und dienen verschiedenen Zwecken. Beide verwenden eine AES-256-Bit-Verschlüsselung. Der Einsatz beider Technologien ermöglicht mithilfe eines mehrschichtigen Sicherheitsansatzes Schutz vor unberechtigtem Zugriff auf Ihren Azure-Speicher und auf bestimmte VHDs.