|
20.02.2026 08:15 Uhr |
Wer seine Daten in der Azure-Cloud hat, will sie sicher wissen – und das heißt verschlüsselt. Die Gretchenfrage lautet: Reichen die Microsoft-Schlüssel, oder sollen es lieber eigene sein? Azure bietet da Optionen und Kombinationsmöglichkeiten, aber das Angebot ist nicht leicht zu überblicken. Armin Berberovic, Titelautor der neuen iX 3/2026, erklärt, wie man es angehen kann und wo man unbedingt Herr der Schlüssel sein sollte.
Für die kundeneigenen Schlüssel nutzt Azure ein mehrstufiges Verschlüsselungsverfahren, welches als Envelope Encryption bekannt ist. Diese Technik kennt zwei Schlüssel, den Key Encryption Key (KEK) und einen Data Encryption Key (DEK). Mit dem KEK wird, wie der Name bereits verrät, ein zweiter Schlüssel verschlüsselt, etwa um den zweiten Schlüssel sicher irgendwo abzulegen. Dieser als „wrapping“ bekannte Prozess wird auf den DEK angewendet, mit dem die Daten verschlüsselt sind.
Soll eine Datei entschlüsselt werden, muss zunächst mit dem KEK der DEK „unwrapped“ (entschlüsselt) werden, um mit dem DEK dann die Datei zu entschlüsseln. Bei einem selbstverwalteten Schlüssel in Azure handelt es sich um den KEK. Dieser kann in Azure Key Vault wahlweise mit softwarebasiertem Schutz oder im Premium-Tier auch in einem HSM abgelegt und über diverse Schnittstellen mit anderen Azure-Diensten genutzt werden. Dabei schützt er in seiner Funktion als KEK den DEK, mit dem der jeweilige Dienst seine Daten verschlüsselt.
Unerlässlich für streng vertrauliche Daten ist der Einsatz eines Hardware Security Modules (HSM). Ein HSM ist ein dediziertes Hardware-Modul, das kryptographische Operationen mithilfe eines integrierten Mikroprozessors ausführt und dort verwahrten Schlüsseln einen besonderen Schutz bietet. So verfügt es über zusätzliche Sicherheitsmechanismen, die aktiv auf Manipulationsversuche reagieren. Wird ein solcher Versuch festgestellt, können die gespeicherten Schlüssel gelöscht oder das HSM deaktiviert werden. Damit bieten HSMs einen besseren Schutz vor Manipulationen als rein Software-basierte Schutzmaßnahmen.
Armin, vielen Dank für die Antworten! Einen Überblick zur Verschlüsselung unter Azure gibt es in der neuen iX. Außerdem zeigen wir, wie man über die Microsoft-Cloud das Monitoring lokaler Windows-Server abwickeln kann – und richten den Blick darauf, was bei Microsoft noch on Prem geht. All das und viele weitere Themen finden Leser im März-Heft, das ab sofort im heise Shop oder am Kiosk erhältlich ist.
In der Serie „Drei Fragen und Antworten“ will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vor dem PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer täglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.
(axk)