Sicherheit mit Azure Key Vault

Einer der wichtigsten Punkte bei der Nutzung der Cloud ist die Datensicherheit. Das bedeutet, wie stelle ich sicher, dass meine Daten bei der Speicherung in der Azure Cloud vor unberechtigten Einblicken geschützt wird?

Verschlüsselung der Storage Accounts

Sobald Daten in der Azure Cloud gespeichert werden, liegen diese in der Regel in einem Storage Account, sei es direkt als Blob oder als Daten innerhalb einer virtuellen Maschine (VM). In der Standardeinstellung hat ein Azure Storage Account einen öffentlichen Zugriffspunkt in der Form https://yourstorageaccount.blob.core.windows.net. Diese URLs wären ohne weitere Sicherheitsmechanismen für jeden erreichbar. Daher hat Microsoft mehrere Schutzmechanismen eingebaut, welche man nach den eigenen Anforderungen aktivieren kann. 

Die erste Stufe der Sicherheit bildet hier die sogenannte Storage Service Encryption. Diese kann im Azure Portal für einen Storage Account mit Hilfe einer Checkbox aktiviert werden. Einmal aktiviert, werden alle Daten, die in diesen Storage Account geschrieben werden, automatisch verschlüsselt. Das Management der Schlüssel erfolgt hierbei komplett durch die Azure Platform.

Als eine weitere Stufe der Sicherheit, diesmal bezüglich Schutz gegen unberechtigte Zugriffe, gibt es die sogenannten Storage Access Keys. Davon gibt es zwei Stück (Primary and Secondary). Diese Storage Access Keys werden für die Authentifizierung beim Zugriff auf die Storage Accounts benutzt. Daher ist es wichtig, dass zum einen diese Keys nicht in falsche Hände gelangen, sowie dass die Keys regelmäßig getauscht werden. Der Tausch wird dadurch vereinfacht, dass zwei Storage Account Keys verwendet werden. Ändert man z. B. den Primary Key, so kann man weiterhin mit dem Secondary Key auf die Daten zugreifen. Erst wenn alle Applikationen, die direkt auf den Storage Account zugreifen, mit dem neuen Primary Key versorgt sind, wird dann der Secondary Key getauscht.

Quelle: https://auth0.com/blog/azure-storage-introduction/

Alle Access Keys werden dabei mit Hilfe der Azure Platform erzeugt, das heißt, die dahinterliegende Zertifikatsinfrastruktur wird von Microsoft gemanaged. Es besteht aktuell keine Möglichkeit, eigene Zertifikate für die Storage Access Keys zu nutzen. Microsoft arbeitet jedoch daran, auch eigene Keys verwenden zu können.

Der vorstehende Mechanismus schützt meine Daten vor dem Zugriff von außen. Wenn ein Angreifer, aufgrund welcher Umstände auch immer, jedoch Zugriff auf die Storage Accounts bekommen sollte, dann kann dieser die Daten wegkopieren und hat diese dann im Klartext vorliegen (sofern keine eigene Verschlüsselung für die abgelegten Daten existiert).

Bessere Absicherung durch Azure Key Vault

Für eine bessere Absicherung meiner Daten stellt Microsoft das Azure Key Vault zur Verfügung. Das Azure Key Vault ist ein speziell abgesicherter Bereich in Azure, in welchem in sicherer Weise Keys und Secrets abgelegt werden können. Das Azure Key Vault bietet hierbei zwei verschiedene Ausprägungen, einmal das Basic Tier, und, für ein Maximum an Sicherheit, das Premium Tier, in welchem die abgelegten Keys mit Hilfe eines Hardware Security Moduls (HSM) verschlüsselt werden (FIPS 140-2 Level 2 konform). Sofern man im Besitz eines Thales HSMs ist, kann sogar der Master Key lokal in Ihrer Infrastruktur erzeugt werden, somit sind alle Keys und Secrets im Key Vault ausschließlich mit Ihren Zertifikaten verschlüsselt.

Betrachten wir zunächst das Szenario der IaaS VMs. In diesem Szenario betreiben Sie innerhalb der Azure Cloud VMs. Ihre Daten liegen innerhalb dieser VMs (z. B. in einem Fileserver). Wir wissen, dass die virtuellen Festplatten durch die Storage Account Keys abgesichert sind. Sollte es jedoch ein Angreifer schaffen, diese Disks zu kopieren, so hat der Angreifer alle Möglichkeiten die Disk zu durchsuchen und auf die Daten zuzugreifen.

Hier kommt jetzt das Azure Key Vault zum Einsatz. Mit Hilfe des Key Vaults sind wir nun in der Lage, innerhalb der VMs Bitlocker (in Linux: DM-Crypt) zu aktivieren und alle Laufwerke in der VM zu verschlüsseln. In obigem Beispiel hätte dann ein Angreifer zwar die virtuelle Festplatte entwendet, da jedoch der Bitlocker Key fehlt, ist ein Zugriff auf diese Daten nicht möglich.

Quelle: https://docs.microsoft.com/en-us/azure/security/azure-security-disk-encryption

Mit Hilfe des Key Vaults können jedoch nicht nur VMs abgesichert werden, es ist auch möglich dies in eine Applikation, welche auf Azure gehostet wird, damit abzusichern.

David Denner

Bei weitergehendem Interesse melden Sie sich bei uns.