Información general sobre el cifrado y la administración de claves
¿Qué rol desempeña el cifrado en la protección del contenido del cliente?
La mayoría de los servicios en la nube empresarial de Microsoft son multiinquilino, lo que significa que el contenido del cliente se puede almacenar en el mismo hardware físico que otros clientes. Para proteger la confidencialidad del contenido del cliente, Microsoft servicios en línea cifrar todos los datos en reposo y en tránsito con algunos de los protocolos de cifrado más seguros y seguros disponibles.
El cifrado no sustituye a los controles de acceso seguros. La directiva de control de acceso de Microsoft de Acceso permanente cero (ZSA) protege el contenido del cliente frente al acceso no autorizado por parte de los empleados de Microsoft. El cifrado complementa el control de acceso mediante la protección de la confidencialidad del contenido del cliente dondequiera que esté almacenado y evitando que el contenido se lea mientras está en tránsito entre los sistemas de Microsoft servicios en línea o entre Microsoft servicios en línea y el cliente.
¿Cómo cifra Microsoft servicios en línea datos en reposo?
Todo el contenido del cliente de Microsoft servicios en línea está protegido por una o varias formas de cifrado. Los servidores de Microsoft usan BitLocker para cifrar las unidades de disco que contienen contenido del cliente en el nivel de volumen. El cifrado proporcionado por BitLocker protege el contenido del cliente si hay errores en otros procesos o controles (por ejemplo, control de acceso o reciclaje de hardware) que podrían dar lugar a acceso físico no autorizado a los discos que contienen contenido del cliente.
Además del cifrado de nivel de volumen, Microsoft servicios en línea usar el cifrado en la capa de aplicación para cifrar el contenido del cliente. El cifrado de servicios proporciona características de administración y protección de derechos además de una protección de cifrado segura. También permite la separación entre los sistemas operativos Windows y los datos del cliente almacenados o procesados por esos sistemas operativos.
¿Cómo cifra Microsoft servicios en línea los datos en tránsito?
Microsoft servicios en línea usar protocolos de transporte seguros, como Seguridad de la capa de transporte (TLS), para evitar que las partes no autorizadas espien los datos de los clientes mientras se mueven a través de una red. Algunos ejemplos de datos en tránsito son los mensajes de correo que están en proceso de entrega, las conversaciones que tienen lugar en una reunión en línea o los archivos que se replican entre centros de datos.
Para Microsoft servicios en línea, los datos se consideran "en tránsito" cada vez que el dispositivo de un usuario se comunica con un servidor de Microsoft o un servidor de Microsoft se comunica con otro servidor.
¿Cómo administra Microsoft servicios en línea las claves usadas para el cifrado?
El cifrado seguro solo es tan seguro como las claves que se usan para cifrar los datos. Microsoft usa sus propios certificados de seguridad y claves asociadas para cifrar las conexiones TLS para los datos en tránsito. Para los datos en reposo, los volúmenes protegidos por BitLocker se cifran con una clave de cifrado de volumen completa, que se cifra con una clave maestra de volumen, que a su vez está enlazada al módulo de plataforma segura (TPM) del servidor. BitLocker usa algoritmos compatibles con FIPS 140-2 para asegurarse de que las claves de cifrado nunca se almacenan o envían a través de la conexión sin cifrar.
El cifrado de servicios proporciona otra capa de cifrado para los datos en reposo del cliente, lo que proporciona a los clientes dos opciones para la administración de claves de cifrado: claves administradas por Microsoft o Clave de cliente. Al usar claves administradas por Microsoft, Microsoft servicios en línea generar y almacenar de forma automática y segura las claves raíz usadas para el cifrado del servicio.
Los clientes con requisitos para controlar sus propias claves de cifrado raíz pueden usar el cifrado de servicio con la clave de cliente de Microsoft Purview. Con la clave de cliente, los clientes pueden generar sus propias claves criptográficas mediante un módulo de servicio de hardware (HSM) local o Azure Key Vault (AKV). Las claves raíz del cliente se almacenan en AKV, donde se pueden usar como raíz de una de las cadenas de claves que cifra los archivos o los datos del buzón de cliente. El código de servicio en línea de Microsoft solo puede acceder a las claves raíz del cliente indirectamente para el cifrado de datos y los empleados de Microsoft no pueden acceder directamente a ellas.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con el cifrado y la administración de claves.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
|
ISO 27001 Declaración de aplicabilidad Certificado |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
8 de abril de 2024 |
|
ISO 27017 Declaración de aplicabilidad Certificado |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
8 de abril de 2024 |
|
ISO 27018 Declaración de aplicabilidad Certificado |
A.11.6: Cifrado de PII transmitido a través de redes públicas de transmisión de datos | 8 de abril de 2024 |
|
SOC 1 SOC 2 SOC 3 |
DS-1: almacenamiento seguro de certificados criptográficos y claves DS-2: los datos del cliente se cifran en tránsito DS-3: comunicación interna de componentes de Azure cifrados en tránsito DS-4: controles y procedimientos criptográficos |
16 de agosto de 2024 |
Microsoft 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| FedRAMP | SC-8: Confidencialidad e integridad de la transmisión SC-13: Uso de criptografía SC-28: Protección de la información en reposo |
21 de agosto de 2024 |
|
ISO 27001/27017 Declaración de aplicabilidad Certificación (27001) Certificación (27017) |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
Marzo de 2022 |
|
ISO 27018 Declaración de aplicabilidad Certificado |
A.11.6: Cifrado de PII transmitido a través de redes públicas de transmisión de datos | Marzo de 2022 |
| SOC 2 | CA-44: Cifrado de datos en tránsito CA-54: cifrado de datos en reposo CA-62: Cifrado de buzón de correo de clave de cliente CA-63: Eliminación de datos de clave de cliente CA-64: Clave de cliente |
23 de enero de 2024 |
| SOC 3 | CUEC-16: Claves de cifrado del cliente CUEC-17: Almacén de claves del cliente CUEC-18: Rotación de claves del cliente |
23 de enero de 2024 |