Azure Key Vault von Microsoft

Verschlüsselung in der Cloud

| Autor / Redakteur: Thomas Joos / Florian Karlstetter

Automatisierte und sichere Schlüssel für sensible Cloud-Anwendungen bereitstellen mit Azure Key Vault
Automatisierte und sichere Schlüssel für sensible Cloud-Anwendungen bereitstellen mit Azure Key Vault (Bild: © bluebay2014 - Fotolia.com)

Der neue Cloud-Dienst Azure Key Vault von Microsoft soll dabei helfen sensible Daten in der Cloud zu verschlüsseln und den Schlüssel auch selbst aufzubewahren. Die lokale Speicherung von Schlüsseln ist nicht mehr notwendig und Cloud-Anwendungen, die verschlüsselt funktionieren, können direkt mit Azure Key Vault zusammenarbeiten.

Im Rahmen der Verschlüsselung und sicheren Aufbewahrung der Schlüssel arbeitet Microsoft Azure Key Vault auch mit anderen Diensten in Microsoft Azure zusammen, zum Beispiel Azure Active Directory. Die Anwendungen, die Zugriff auf verschlüsselte Daten erhalten sollen, zum Beispiel in verschlüsselten Datenbanken, erhalten keinerlei Zugriffe auf den Schlüssel dahinter. Auch Microsoft, NSA oder andere Stellen können die Schlüssel nicht sehen. Auf Dauer möchte Microsoft in Key Vault auch die Schlüssel für lokale Dienste anbieten, nicht nur verschlüsselte Daten in der Cloud.

Nur der Anwender, der seine Daten in der Cloud verschlüsselt hat, kann auf seinen Schlüssel in Azure Key Vault zugreifen. Wer die Schlüssel verwendet ist in Microsoft Azure durch die Logdateien einsehbar. Die Kosten von Microsoft Azure Key Vault hängen davon ab, welche und wieviele Daten verschlüsselt werden. Die Einrichtung der Umgebung zeigt Microsoft in der Dokumentation zu Microsoft Azure Key Vault. Die Einrichtung ist schnell abgeschlossen, was ein deutlicher Vorteil gegenüber lokal betriebenen Hardware Security Module (HSM) darstellt.

Die Verschlüsselung in Key Vault erfolgt laut Microsoft nach den Federal- Information-Process-Standard (FIPS)-140-2 Level 2-Richtlinien für Sicherheit sowie der Common-Criteria-EAL4+ -Zertifizierung.

Darum ist Azure Key Vault sinnvoll

Die zentrale Aufgabe von Azure Key Vault besteht darin, dass Schlüssel für die Verschlüsselung und Kennwörter an einer zentralen Stelle sicher speicherbar und jederzeit abrufbar sind. Je mehr verschlüsselte Daten Anwender oder Unternehmen benötigen, und damit auch Schlüssel aufbewahren müssen, desto sinnvoller ist eine zentrale Speicherung der Schlüssel. Das erfolgt in Unternehmen meistens in speziellen Appliances, Hardware Security Module (HSM) genannt. Dort werden alle Schlüssel und Kennwörter abgelegt, die im Unternehmen zur Entschlüsselung von Workloads oder Clouddiensten benötigt werden. Die Verwaltung dieser teuren Geräte ist kompliziert und nicht alle Endanwendungen oder Cloud-Dienste unterstützen ein HSM. Hardware Security Module müssen erworben, lizenziert, implementiert, verwaltet und gesichert werden. Dazu kommen Leistungsprobleme, wenn mehrere Benutzer gleichzeitig Zugriff auf die Entschlüsselungsschlüssel nehmen wollen.

Azure Key Vault lagert die Funktionen solcher HSMs in die Cloud und ermöglicht dadurch verschiedenen Cloud-Anwendungen Daten zu entschlüsseln und zu verschlüsseln. Durch die sichere Aufbewahrung des Schlüssels, lässt sich die Sicherheit sensibler Daten deutlich erhöhen, ohne gleichzeitig die Komplexität für Anwender zu erhöhen. Unternehmen können sich damit den Betrieb von HSMs ersparen.

SQL Server und VMs sicher verschlüsseln

Azure Key Vault lässt sich im Azure-Portal oder der PowerShell verwalten.
Azure Key Vault lässt sich im Azure-Portal oder der PowerShell verwalten. (Bild: Microsoft / Joos)

Sinnvolles Einsatzgebiet ist die SQL-Server-Verschlüsselung und die Verwendung von Transparent Data Encryption (TDE), zusammen mit VMs in Microsoft Azure, die auf SQL Server 2014/2016 setzen. Zusätzlich lassen sich auch VMs in Microsoft Azure durch Key Vault effizient verschlüsseln und dadurch sicher betreiben. Vor allem bei der Verwendung sensibler Daten oder für Big Data-Umgebungen ist ein solcher Schutz sinnvoll. Da sich Key Vault selbst gut skalieren kann, sinkt die Abfrageleistung eines virtuellen SQL-Servers nicht, wenn die Daten entschlüsselt werden müssen. Solche Vorgänge sind bei lokalen HSM-Appliances wesentlich teurer und komplizierter umzusetzen.

Auch die virtuellen Festplatten von VMs in Microsoft Azure lassen sich mit Azure Key Vault nutzen. Die Azure Disk Encryption arbeitet also bereits mit Azure Key Vault zusammen. Verwalten lässt sich der Dienst über das Azure-Portal oder mit der PowerShell. Dadurch lassen sich auch Skripte erstellen, mit denen Administratoren schneller und einfacher Schlüsselspeicher erstellen können. In der Azure-PowerShell stehen dazu neue CMDlets zur Verfügung. Um einen neuen Key Vault anzulegen, verwenden Sie zum Beispiel:

New-AzureRmKeyVault -VaultName 'ContosoKeyVault' -ResourceGroupName 'ContosoResourceGroup' -Location 'East Asia'

Die ausführliche Vorgehensweise dazu ist in der Dokumentation von Microsoft Azure zu lesen.

CloudLink Secure VM und Azure Key Vault

Als zentrales Element zum Verschlüsseln von virtuellen Festplatten kann in Microsoft Azure die CloudLink Secure VM genutzt werden. Mit dieser VM lassen sich Festplatten auf Basis von Bitlocker, aber auch mit Linux-Verschlüsselung verschlüsselt werden. Die Schlüssel bleiben standardmäßig innerhalb der CloudLink-VM gespeichert, lassen sich jetzt aber in Azure Key Vault ablegen. Zusammen mit Azure Key Vault und CloudLink Secure VM können Unternehmen VMs zentral verschlüsseln, und zwar mit den Bordmitteln im Betriebssystem.

Die Verwaltung erfolgt ebenfalls zentral. Beim Starten einer VM meldet sich das Betriebssystem an der CloudLink-VM und fordert die Entschlüsselung an. Dazu arbeiten die virtuellen Server in Microsoft Azure auch mit virtuellen TPM-Chips. Die Entschlüsselung erfolgt automatisiert in Zusammenarbeit mit dem virtuellen Betriebssystem, der CloudLink-VM und mit Azure Key Vault. Das System unterstützt Windows und Linux, in den Varianten, die auch in Microsoft Azure verfügbar sind.

Always Encrypted in SQL Server 2016 und Azure SQL

Die neue Funktion „Always Encrypted“ in SQL Server 2016 und Azure SQL ermöglicht es, dass Daten in bestimmten Spalten generell immer verschlüsselt sind, auch wenn eine Anwendung Zugriff auf die Spalten nimmt. Sinnvoll ist das zum Beispiel für Kreditkartennummern oder anderen wichtigen Personalinformationen. Während in den Vorgängerversionen die Daten nur auf der Festplatte verschlüsseln konnten, haben Unternehmen mit SQL Server 2016 und Azure SQL auch die Möglichkeiten Daten während der Verwendung zu verschlüsseln. Das ist bei produktiver Anbindung der Cloud, vor allem Microsoft Azure, ein wichtiger Sicherheitsaspekt.

Auch bei der Verwendung von In-Memory-Technologien spielt die Sicherheit eine wichtige Rolle. Hier lassen sich jetzt ebenfalls Daten im laufenden Betrieb verschlüsseln, ohne dass die Leistung einbricht. In-Memory-Tabellen auf OLTP-Basis, unterstützen in SQL Server 2016 Transparente Datenverschlüsselung (TDE). Das heißt, auch im Arbeitsspeicher abgelegte Tabellen werden umfassend verschlüsselt. Die Schlüssel dazu lassen sich in Azure Key Vault ablegen.

Nutzen Entwickler verschlüsselte Daten mit lokalen SQL-Servern und replizieren diese über das Internet zur Cloud, werden die Daten zu keinem Zeitpunkt entschlüsselt. Das heißt, von der Speicherung, über die Replikation, bis hin zum Übertragen in die Cloud, bleiben die Daten verschlüsselt. Speichern Anwender zum Beispiel heikle Daten, wie Informationen von Patienten in einer Datenbank, lassen sich die Spalten verschlüsseln. Die Anwendungen, die auf diese Spalte zugreifen, können natürlich die verschlüsselten Daten verwenden, allerdings können Angreifer die abgefragten Daten nicht abfangen, da sie auch beim Übertragen zwischen Datenbank und Anwendung verschlüsselt bleiben. Die Anwendungen, die auf die verschlüsselten Daten zugreifen, erhalten den Zugriffsschlüssel. Der Schlüssel ist in der Anwendung gespeichert, auch Administratoren haben keinen Zugriff auf diesen Schlüssel. Erst in der Anwendung werden die Daten lesbar gemacht. Die Verbindung und Absicherung erfolgt durch Azure Key Vault.

Fazit

Unternehmen, die mit verschlüsselten Anwendungen oder hochsensiblen Daten in der Cloud arbeiten, profitieren von den Möglichkeiten mit Microsoft Azure Key Vault. Zusammen mit CloudLink Secure VM lassen sich hochsensible VMs zuverlässig mit Bordmitteln verschlüsseln, zentral verwalten und die Schlüssel sicher und ebenfalls zentral speichern. Es spielt dabei keine Rolle, ob in Microsoft Azure virtuelle Linux-Server oder Server auf Basis von Windows Server 2012 R2 oder Windows Server 2016 betrieben werden. Vor allem für virtuelle SQL-Server in Microsoft Azure bietet Azure Key Vault echte Vorteile.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44290430 / Content-Security)