Tags: Sicherheit, Azure, Verschlüsselung
Microsoft baut die Funktionen seiner Cloud-Plattform Microsoft Azure aus. Wie Corey Sanders, Director Program Management Azure, in einem Beitrag im Azure-Blog erläutert, steht eine Preview-Version von Azure Key Vault zur Verfügung.
Dieser Cloud-Service soll hardwaregestützte HSM-Appliances (Hardware Security Module) überflüssig machen, die User im firmeneigenen Netzwerk installieren. In solchen HSM-Systemen werden die Schlüssel gespeichert, mit denen Firmen Daten oder ganze Workloads in Cloud-Umgebungen wie Azure verschlüsseln.
Das bringt einen gewissen Aufwand mit sich: Die Appliances müssen implementiert, verwaltet und mit Updates versorgt werden. Zudem können sie sich als Engstelle erweisen, wenn in größeren Firmen viele Nutzer parallel darauf zugreifen.
Anwendungsfelder
Diese Probleme weist Key Vault laut Sanders nicht auf. In diesem Fall stellt Azure eine HSM-Appliance in der Microsoft-Cloud bereit. Der Vorteil ist, dass sich dieses System erweitern oder auch "schrumpfen" lässt, entsprechend den Anforderungen des Users. Als Anwendungsbeispiele führt Corey Sanders die Verschlüsselung einer SQL-Server-Virtual-Machine mittels TDE (Transparent Data Encryption) an. Dazu wird ein SQL Server Connector eingesetzt, der für Key Vault zur Verfügung steht.
Außerdem können Anwender mit den Master Keys von Key Vault sowie CloudLink SecureVM verschlüsselte Virtual Machines erstellen. Wie Key Vault im Detail funktioniert, hat Dan Plastina in diesem TechNet-Beitrag beschrieben. Laut Plastina eignet sich die Appliance nicht nur dazu, Daten und VM in Azure zu verschlüsseln, sondern kann auch in Private Clouds im Firmenrechenzentrum verwendet werden.
Funktionen von Key Vault
Laut Microsoft stellt Key Vault unter anderem folgende Funktionen zur Verfügung:
- Den Schutz von Keys und Daten wie Passwörtern mithilfe von asymmetrischen Schlüsseln. Das Schutzniveau entspricht den Vorgaben von FIPS 140-2 Level 2 und Common Criteria EAL4+.
- Die Option, neue Key Vaults und die dazu passenden Schlüssel innerhalb von Minuten bereitzustellen und zentral zu managen. Der Anwender behält demnach jederzeit die Kontrolle über "seine" Daten. Bei Bedarf lässt sich für Drittanwendungen ein Zugang zu Key Vault einrichten.
- Entwickler haben die Möglichkeit, Keys zu verwalten, die bei Gerätetests zum Einsatz kommen. Die Umwandlung in Produktionsschlüssel ist Microsoft zufolge ohne hohen Aufwand möglich.
Verwaltung von Key Vault
Neben Entwicklern und IT-Sicherheitsfachleuten können auch "normale" Administratoren Key Vaults aufsetzen und die Schlüsselverwaltung übernehmen. Die Voraussetzung ist, dass der Admin einen Azure-Account verfügt.
Auf diese Weise lassen sich bestimmten IT-Fachleuten administrative Aufgaben im Zusammenhang mit dem Key-Management übertragen. Dazu zählen beispielweise das Erstellen, der Import sowie das Löschen von Keys und Geheimnissen (Secrets) und das Autorisieren von Nutzern oder Anwendungen, die Zugriff auf bestimmte Schlüssel benötigen. Zudem können Admins die Nutzung der Schlüssel überwachen.
Verfügbarkeit
Die Vorabversion ("Preview") von Key Vault ist in Amerika und Asien, aber auch in der Region Westeuropa verfügbar. Eine Testversion des Services können Interessenten auf dieser (deutschsprachigen) Web-Seite von Microsoft ordern.
Täglich Know-how für IT-Pros mit unserem Newsletter
Bei der Zeitschrift "Network World" war Reder als stellvertretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.
Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
// Kontakt: E-Mail, XING //
Verwandte Beiträge
Weitere Links