Información general sobre el cifrado y la administración de claves
¿Qué rol desempeña el cifrado en la protección del contenido del cliente?
La mayoría de los servicios en la nube empresarial de Microsoft son multiinquilino, lo que significa que el contenido del cliente se puede almacenar en el mismo hardware físico que otros clientes. Para proteger la confidencialidad del contenido del cliente, los servicios en línea de Microsoft cifran todos los datos en reposo y en tránsito con algunos de los protocolos de cifrado más seguros y seguros disponibles.
El cifrado no sustituye a los controles de acceso seguros. La directiva de control de acceso de Microsoft de Acceso permanente cero (ZSA) protege el contenido del cliente frente al acceso no autorizado por parte de los empleados de Microsoft. El cifrado complementa el control de acceso mediante la protección de la confidencialidad del contenido del cliente dondequiera que esté almacenado y evitando que el contenido se lea mientras está en tránsito entre los sistemas de servicios en línea de Microsoft o entre los servicios en línea de Microsoft y el cliente.
¿Cómo cifran los servicios en línea de Microsoft los datos en reposo?
Todo el contenido del cliente en los servicios en línea de Microsoft está protegido por una o varias formas de cifrado. Los servidores de Microsoft usan BitLocker para cifrar las unidades de disco que contienen contenido del cliente en el nivel de volumen. El cifrado proporcionado por BitLocker protege el contenido del cliente si hay errores en otros procesos o controles (por ejemplo, control de acceso o reciclaje de hardware) que podrían dar lugar a acceso físico no autorizado a los discos que contienen contenido del cliente.
Además del cifrado de nivel de volumen, los servicios en línea de Microsoft usan El cifrado de servicio en el nivel de aplicación para cifrar el contenido del cliente. Service Encryption proporciona características de administración y protección de derechos además de una protección de cifrado segura. También permite la separación entre los sistemas operativos Windows y los datos del cliente almacenados o procesados por esos sistemas operativos.
¿Cómo cifran los servicios en línea de Microsoft los datos en tránsito?
Los servicios en línea de Microsoft usan protocolos de transporte seguros, como TLS, para evitar que las partes no autorizadas espien los datos de los clientes mientras se mueven a través de una red. Algunos ejemplos de datos en tránsito son los mensajes de correo que están en proceso de entrega, las conversaciones que tienen lugar en una reunión en línea o los archivos que se replican entre centros de datos.
En el caso de los servicios en línea de Microsoft, los datos se consideran "en tránsito" cada vez que el dispositivo de un usuario se comunica con un servidor de Microsoft o un servidor de Microsoft se comunica con otro servidor.
¿Cómo administran los servicios en línea de Microsoft las claves usadas para el cifrado?
El cifrado seguro solo es tan seguro como las claves que se usan para cifrar los datos. Microsoft usa sus propios certificados de seguridad para cifrar las conexiones TLS para los datos en tránsito. Para los datos en reposo, los volúmenes protegidos por BitLocker se cifran con una clave de cifrado de volumen completa, que se cifra con una clave maestra de volumen, que a su vez está enlazada al módulo de plataforma segura (TPM) del servidor. BitLocker usa algoritmos compatibles con FIPS para asegurarse de que las claves de cifrado nunca se almacenan o envían a través de la conexión sin cifrar.
Service Encryption proporciona otra capa de cifrado para los datos en reposo del cliente, lo que proporciona a los clientes dos opciones para la administración de claves de cifrado: claves administradas por Microsoft o Clave de cliente. Cuando se usan claves administradas por Microsoft, los servicios en línea de Microsoft generan y almacenan de forma automática y segura las claves raíz usadas para El cifrado de servicio.
Los clientes con requisitos para controlar sus propias claves de cifrado raíz pueden usar el cifrado de servicio con la clave de cliente de Microsoft Purview. Con la clave de cliente, los clientes pueden generar sus propias claves criptográficas mediante un módulo de servicio de hardware (HSM) local o Azure Key Vault (AKV). Las claves raíz del cliente se almacenan en AKV, donde se pueden usar como raíz de una de las cadenas de claves que cifra los archivos o los datos del buzón de cliente. El código de servicio en línea de Microsoft solo puede acceder a las claves raíz del cliente indirectamente para el cifrado de datos y los empleados de Microsoft no pueden acceder directamente a ellas.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con el cifrado y la administración de claves.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificado |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
6 de noviembre de 2023 |
| ISO 27017 Declaración de aplicabilidad Certificado |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
6 de noviembre de 2023 |
| ISO 27018 Declaración de aplicabilidad Certificado |
A.11.6: Cifrado de PII transmitido a través de redes públicas de transmisión de datos | 6 de noviembre de 2023 |
| SOC 1 SOC 2 SOC 3 |
DS-1: almacenamiento seguro de certificados criptográficos y claves DS-2: los datos del cliente se cifran en tránsito DS-3: comunicación interna de componentes de Azure cifrados en tránsito DS-4: controles y procedimientos criptográficos |
20 de mayo de 2024 |
Microsoft 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| FedRAMP (Office 365) | SC-8: Confidencialidad e integridad de la transmisión SC-13: Uso de criptografía SC-28: Protección de la información en reposo |
31 de julio de 2023 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación (27001/27002) Certificación (27017) |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
Marzo de 2022 |
| ISO 27018 Declaración de aplicabilidad Certificado |
A.11.6: Cifrado de PII transmitido a través de redes públicas de transmisión de datos | Marzo de 2022 |
| SOC 2 | CA-44: Cifrado de datos en tránsito CA-54: cifrado de datos en reposo CA-62: Cifrado de buzón de correo de clave de cliente CA-63: Eliminación de datos de clave de cliente CA-64: Clave de cliente |
23 de enero de 2024 |
| SOC 3 | CUEC-16: Claves de cifrado del cliente CUEC-17: Almacén de claves del cliente CUEC-18: Rotación de claves del cliente |
23 de enero de 2024 |
Recursos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de