Бележка
Достъпът до тази страница изисква удостоверяване. Можете да опитате да влезете или да промените директориите.
Достъпът до тази страница изисква удостоверяване. Можете да опитате да промените директориите.
Отнася се за Power Platform препоръката за контролен списък за сигурност на Well-Architected:
| SE:06 | Криптирайте данни, като използвате съвременни стандартни за индустрията методи за защита на поверителността и целостта. Привеждане на обхвата на криптиране в съответствие с класификациите на данните; Дайте приоритет на методите за криптиране на собствената платформа. |
|---|
Ако данните ви не са защитени, те могат да бъдат злонамерено променени, което води до загуба на цялост и поверителност.
Това ръководство описва препоръките за шифроване и защита на вашите данни. Криптирането е процес на използване на криптографски алгоритми, за да се направят данните нечетими и да се заключат данните с ключ. В криптирано състояние данните не могат да бъдат дешифрирани. Той може да бъде декриптиран само с помощта на ключ, който е сдвоен с ключа за криптиране.
Дефиниции
| Термини | Дефиниция |
|---|---|
| Сертификати | Цифрови файлове, които съдържат публичните ключове за криптиране или декриптиране. |
| Дешифриране | Процесът, при който криптираните данни се отключват с таен код. |
| Шифроване | Процесът, чрез който данните стават нечетими и заключени с таен код. |
| Ключове | Таен код, използван за заключване или отключване на криптирани данни. |
Ключови стратегии за проектиране
Организационните мандати или регулаторните изисквания могат да наложат механизми за шифроване. Например може да има изискване данните да останат само в избрания регион и копията на данните да се поддържат в този регион.
Тези изисквания често са базовият минимум. Стремете се към по-високо ниво на защита. Вие носите отговорност за предотвратяването на изтичане на поверителност и подправяне на чувствителни данни, независимо дали става въпрос за външни потребителски данни или данни на служители.
Данните са най-ценният и незаменим актив на организацията, а криптирането служи като последната и най-силна линия на защита в многопластовата стратегия за сигурност на данните. Бизнес облачните услуги и продукти на Microsoft използват криптиране, за да защитят клиентските данни и да ви помогнат да поддържате контрол над тях.
Сценарии за шифроване
Механизмите за криптиране вероятно трябва да защитят данните на три етапа:
Данните в покой са цялата информация, която се съхранява в обектите за съхранение. По подразбиране Microsoft съхранява и управлява ключа за шифроване на базата данни за вашите среди с помощта на ключ, управляван от Microsoft. Въпреки това, Power Platform предоставя управляван от клиента ключ за криптиране (CMK) за допълнителен контрол на защитата на данните, където можете самостоятелно да управлявате ключа за криптиране на базата данни.
Данните при обработката са данни, които се използват като част от интерактивен сценарий или когато фонов процес, като например опресняване, ги докосне. Power Platform зарежда данни в процес на обработка в пространството на паметта на едно или повече натоварвания на услугата. За да се улесни функционалността на работното натоварване, данните, които се съхраняват в паметта, не са шифровани.
Данните при пренасяне са информация, която се прехвърля между компоненти, местоположения или програми. Azure използва стандартни за индустрията транспортни протоколи, като например Transport Layer Security (TLS) между потребителски устройства и центрове за данни на Microsoft, както и в самите центрове за данни.
Вградени механизми за криптиране
По подразбиране Microsoft съхранява и управлява ключа за шифроване на базата данни за вашите среди с помощта на ключ, управляван от Microsoft. Въпреки това, Power Platform предоставя управляван от клиента ключ за криптиране (CMK) за допълнителен контрол на защитата на данните, където можете самостоятелно да управлявате ключа за криптиране на базата данни. Ключът за шифроване се намира във вашия собствен трезор за ключове на Azure, което ви позволява да завъртите или замените ключа за криптиране при поискване. Той също така Ви позволява да предотвратите достъпа на Microsoft до Вашите клиентски данни, когато отмените ключовия достъп до нашите услуги по всяко време.
Ключове за криптиране
По подразбиране Power Platform услугите използват управлявани от Microsoft ключове за шифроване и декриптиране на данни. Azure отговаря за управлението на ключовете.
Можете да изберете ключове, управлявани от клиента. Power Platform Все още използва вашите ключове, но вие носите отговорност за ключовите операции.
Power Platform улесняване
Следващите раздели описват Power Platform функциите и възможностите, които можете да използвате за шифроване на вашите данни.
Управляван от клиента ключ
Всички клиентски данни, съхранявани в Power Platform тях, се шифроват с помощта на силен шифроващ ключ, управляван от Microsoft, по подразбиране. Организациите с изисквания за поверителност и съответствие на данните, за да защитят своите данни и да управляват собствените си ключове, могат да използват възможността за управляван от клиента ключ. Управляваният от клиента ключ осигурява допълнителна защита на данните, при която самостоятелно управлявате ключа за шифроване на данни, свързан с вашата Dataverse среда. Използването на тази възможност ви позволява да завъртите или разменяте ключове за криптиране при поискване. Освен това не позволява на Microsoft да получи достъп до вашите данни, когато отмените ключа от услугата. За повече информация вижте Управление на вашия управляван от клиента ключ за шифроване.
Разположение на данни
Наемателят Azure Active Directory (Azure AD) съхранява информация, която е от значение за организацията и нейната сигурност. Когато Azure AD клиент се регистрира за Power Platform услуги, избраната от клиента държава или регион се картографира към най-подходящата география на Azure, където съществува Power Platform разгръщане. Power Platform съхранява клиентски данни в присвоената на клиента география на Azure или домашна география, освен когато организациите разгръщат услуги в множество региони.
Power Platform услугите са налични в определени географски области на Azure. За повече информация относно това къде Power Platform са налични услугите, къде се съхраняват вашите данни и как се използват, вижте Център за сигурност на Microsoft. Ангажиментите относно местоположението на клиентските данни в покой са посочени в Условията за обработка на данни на Условията за онлайн услуги на Microsoft. Microsoft също така предоставя центрове за данни за суверенни субекти.
Достъпът до Copilot Studio функции за генеративен изкуствен интелект от региони извън Съединените щати води до движение на данни през регионалните граници. Това движение на данни може да бъде активирано и деактивирано Power Platform. Научете повече в Региони, участващи в втори пилоти и генеративни функции за изкуствен интелект. Географското пребиваване на данни в Microsoft Copilot Studio осигурява стабилна рамка за гарантиране на сигурността на данните и съответствие с местните разпоредби. В допълнение към собствените си собствени функции за сигурност, Copilot Studio използва инфраструктурата на Azure, за да предостави сигурни и съвместими опции за пребиваване на данни. Научете повече за пребиваването на данни и Copilot Studio в Географско пребиваване на данни и Copilot StudioСигурност и географско пребиваване на данни в Copilot Studio.
Данни в покой
Освен ако не е посочено друго в документацията, клиентските данни остават в оригиналния си източник (например Dataverse или SharePoint). Всички данни, поддържани от Power Platform са криптирани по подразбиране с помощта на ключове, управлявани от Microsoft.
Данни в процес на обработка
Данните са в процес на обработка, когато се използват като част от интерактивен сценарий или когато фонов процес, като например опресняване, ги докосне. Power Platform зарежда данни в процес на обработка в пространството на паметта на едно или повече натоварвания на услугата. За да се улесни функционалността на работното натоварване, данните, които се съхраняват в паметта, не са шифровани.
Транзитни данни
Power Platform изисква целият входящ HTTP трафик да бъде криптиран с помощта на TLS 1.2 или по-нова версия. Заявки, които се опитват да използват TLS 1.1 или по-ниска версия, се отхвърлят.
За повече информация вижте За шифроването на данни в Power Platform и Съхранение и управление на данни в Power Platform.
Свързана информация
- Всичко за шифроването на данни
- Съхранение и управление на данни в Power Platform
- Power Platform Често задавани въпроси за сигурността
- Управлявайте вашия управляван от клиента ключ за криптиране
Контролен списък за сигурност
Вижте пълния набор от препоръки.