Freigeben über

Verschlüsselung in der Microsoft-Cloud

  • Artikel

Kundendaten in den Unternehmensclouddiensten von Microsoft werden durch verschiedene Technologien und Prozesse geschützt, einschließlich verschiedener Verschlüsselungsformen. (Kundendaten in diesem Dokument umfassen Exchange Online Postfachinhalte, E-Mail-Text, Kalendereinträge und den Inhalt von E-Mail-Anlagen sowie ggf. Skype for Business Inhalte, SharePoint-Websiteinhalte und die auf Websites gespeicherten Dateien sowie dateien, die auf OneDrive oder Skype for Business.) Microsoft verwendet mehrere Verschlüsselungsmethoden, Protokolle und Verschlüsselungsverfahren für seine Produkte und Dienste. Die Verschlüsselung bietet einen sicheren Weg für Kundendaten, um unsere Clouddienste zu durchlaufen, und trägt zum Schutz der Vertraulichkeit von Kundendaten bei, die in unseren Clouddiensten gespeichert sind. Microsoft verwendet einige der stärksten und sichersten Verschlüsselungsprotokolle, die verfügbar sind, um Barrieren gegen nicht autorisierten Zugriff auf Kundendaten bereitzustellen. Eine ordnungsgemäße Schlüsselverwaltung ist auch ein wesentliches Element der bewährten Verschlüsselungsmethoden, und Microsoft arbeitet daran, sicherzustellen, dass alle von Microsoft verwalteten Verschlüsselungsschlüssel ordnungsgemäß geschützt sind.

Kundendaten, die in den Unternehmensclouddiensten von Microsoft gespeichert sind, werden durch eine oder mehrere Verschlüsselungsformen geschützt. (Mehrere Nicht-Microsoft-Prüfer überprüfen unabhängig unsere Krypto-Richtlinie und ihre Durchsetzung. Berichte über diese Überwachungen sind im Service Trust Portal verfügbar.)

Microsoft bietet dienstseitige Technologien, mit denen ruhende und übertragungsbasierte Kundendaten verschlüsselt werden. Für ruhende Kundendaten verwendet Microsoft Azure beispielsweise BitLocker und DM-Crypt, und Microsoft 365 verwendet BitLocker, Azure Storage Service Encryption, Distributed Key Manager (DKM) und Microsoft 365-Dienstverschlüsselung. Für Kundendaten während der Übertragung verwenden Azure, Office 365, Microsoft Commercial Support, Microsoft Dynamics 365, Microsoft Power BI und Visual Studio Team Services branchenübliche sichere Transportprotokolle wie Internet Protocol Security (IPsec) und Transport Layer Security (TLS) zwischen Microsoft-Rechenzentren und zwischen Benutzergeräten und Microsoft-Rechenzentren.

Neben der von Microsoft bereitgestellten Basisebene der kryptografischen Sicherheit bieten unsere Clouddienste auch Kryptografieoptionen, die Sie verwalten können. Beispielsweise können Sie die Verschlüsselung für den Datenverkehr zwischen ihren virtuellen Azure-Computern (VMs) und ihren Benutzern aktivieren. Mit Virtuellen Azure-Netzwerken können Sie das IPsec-Protokoll nach Branchenstandard verwenden, um Datenverkehr zwischen Ihrem UNTERNEHMENS-VPN-Gateway und Azure zu verschlüsseln. Sie können auch den Datenverkehr zwischen den VMs in Ihrem virtuellen Netzwerk verschlüsseln. Darüber hinaus können Sie mit Microsoft Purview-Nachrichtenverschlüsselung verschlüsselte E-Mails an jeden senden.

Gemäß dem public key Infrastructure Operational Security Standard, der eine Komponente der Microsoft-Sicherheitsrichtlinie ist, verwendet Microsoft die kryptografischen Funktionen, die im Windows-Betriebssystem für Zertifikate und Authentifizierungsmechanismen enthalten sind. Zu diesen Mechanismen gehört die Verwendung von Kryptografiemodulen, die dem FIPS-Standard 140-2 ( Federal Information Processing Standards ) der US-Regierung entsprechen. Sie können nach den relevanten NIST-Zertifikatnummern (National Institute of Standards and Technology) für Microsoft suchen, indem Sie das Cryptographic Module Validation Program (CMVP) verwenden.

[HINWEIS] Die Microsoft-Sicherheitsrichtlinie wird nicht als öffentlicher Download zur Verfügung gestellt. Wenden Sie sich an Microsoft, um Informationen zu dieser Richtlinie zu erfahren.

FIPS 140-2 ist ein Standard, der speziell für die Validierung von Produktmodulen entwickelt wurde, die Kryptografie anstelle der Produkte implementieren, die sie verwenden. Kryptografische Module, die in einem Dienst implementiert werden, können zertifiziert werden, da sie die Anforderungen an Hashstärke, Schlüsselverwaltung und ähnliches erfüllen. Die kryptografischen Module und Verschlüsselungen, die zum Schutz der Vertraulichkeit, Integrität oder Verfügbarkeit von Daten in den Clouddiensten von Microsoft verwendet werden, entsprechen dem FIPS 140-2-Standard.

Microsoft zertifiziert die zugrunde liegenden kryptografischen Module, die in unseren Clouddiensten verwendet werden, mit jeder neuen Version des Windows-Betriebssystems:

  • Azure und Azure U.S. Government
  • Dynamics 365 und Dynamics 365 U.S. Government
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense

Die Verschlüsselung ruhender Kundendaten wird von mehreren dienstseitigen Technologien bereitgestellt, einschließlich BitLocker, DKM, Azure Storage Service Encryption und Dienstverschlüsselung in Exchange, OneDrive und SharePoint. Die Microsoft 365-Dienstverschlüsselung umfasst eine Option zur Verwendung von kundenseitig verwalteten Verschlüsselungsschlüsseln, die in Azure Key Vault gespeichert sind. Diese Option für kundenseitig verwaltete Schlüssel wird als Kundenschlüssel bezeichnet und ist für Exchange, SharePoint, OneDrive, Teams-Dateien und Windows 365 Cloud-PCs (in der öffentlichen Vorschau) verfügbar.

Für Kundendaten während der Übertragung verhandeln alle Office 365 Server sichere Sitzungen mithilfe von TLS standardmäßig mit Clientcomputern aus, um Kundendaten zu schützen. Beispielsweise handelt Office 365 sichere Sitzungen mit Skype for Business, Outlook, Outlook im Web, mobilen Clients und Webbrowsern aus.

(Alle kundenseitigen Server verhandeln standardmäßig mit TLS 1.2.)

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.