Cifrado para Skype Empresarial, OneDrive para la Empresa, SharePoint Online, Microsoft Teams y Exchange Online
Microsoft 365 es un entorno muy seguro que ofrece una amplia protección en varias capas: seguridad física del centro de datos, seguridad de red, seguridad de acceso, seguridad de aplicaciones y seguridad de datos.
Skype Empresarial
Skype Empresarial datos del cliente pueden almacenarse en reposo en forma de archivos o presentaciones cargados por los participantes de la reunión. El servidor de conferencia web cifra los datos del cliente mediante AES con una clave de 256 bits. Los datos de cliente cifrados se almacenan en un recurso compartido de archivos. Cada fragmento de datos de cliente se cifra mediante una clave de 256 bits generada aleatoriamente diferente. Cuando se comparte un fragmento de datos de cliente en una conferencia, el servidor de conferencias web indica a los clientes de conferencia que descarguen los datos de cliente cifrados a través de HTTPS. Envía la clave correspondiente a los clientes para que se puedan descifrar los datos del cliente. El servidor de conferencias web también autentica los clientes de conferencia antes de permitir que los clientes accedan a los datos de los clientes de conferencia. Al unirse a una conferencia web, cada cliente de conferencia establece primero un cuadro de diálogo SIP con el componente de enfoque de conferencia que se ejecuta dentro del servidor front-end a través de TLS. El foco de conferencia pasa al cliente de conferencia una cookie de autenticación generada por el servidor de conferencias web. A continuación, el cliente de conferencia se conecta al servidor de conferencia web que presenta la cookie de autenticación que el servidor va a autenticar.
SharePoint Online y OneDrive para la Empresa
Todos los archivos de cliente de SharePoint Online están protegidos por claves únicas por archivo que siempre son exclusivas de un solo inquilino. Las claves se crean y administran mediante el servicio SharePoint Online o cuando se usa la clave de cliente, creadas y administradas por los clientes. Cuando se carga un archivo, SharePoint Online realiza el cifrado en el contexto de la solicitud de carga, antes de enviarlo a Azure Storage. Cuando se descarga un archivo, SharePoint Online recupera los datos de cliente cifrados de Azure Storage en función del identificador de documento único y los descifra antes de enviarlos al usuario. Azure Storage no tiene capacidad para descifrar ni siquiera identificar ni comprender los datos del cliente. Todo el cifrado y descifrado se producen en los mismos sistemas que aplican el aislamiento de inquilino, que son Microsoft Entra id. y SharePoint Online.
Varias cargas de trabajo de Microsoft 365 almacenan datos en SharePoint Online, incluido Microsoft Teams, que almacena todos los archivos en SharePoint Online y OneDrive para la Empresa, que usa SharePoint Online para su almacenamiento. Todos los datos de cliente almacenados en SharePoint Online se cifran (con una o más claves AES de 256 bits) y se distribuyen en el centro de datos de la siguiente manera. (Cada paso de este proceso de cifrado se valida fips 140-2 nivel 2. Para obtener información adicional sobre el cumplimiento de FIPS 140-2, consulte Cumplimiento con FIPS 140-2).
Cada archivo se divide en uno o más fragmentos, dependiendo del tamaño del archivo. Cada fragmento se cifra mediante su propia clave única de 256 bits de AES.
Cuando se actualiza un archivo, la actualización se controla de la misma manera: el cambio se divide en uno o más fragmentos y cada fragmento se cifra con una clave única independiente.
Estos fragmentos (archivos, fragmentos de archivos y deltas de actualización) se almacenan como blobs en Azure Storage que se distribuyen aleatoriamente entre varias cuentas de almacenamiento de Azure.
El conjunto de claves de cifrado para estos fragmentos de datos de cliente se cifra.
- Las claves usadas para cifrar los blobs se almacenan en la base de datos de contenido de SharePoint Online.
- La base de datos de contenido está protegida por los controles de acceso a la base de datos y el cifrado en reposo. El cifrado se realiza mediante el cifrado de datos transparente (TDE) en Azure SQL Database. (Azure SQL Database es un servicio de base de datos relacional de uso general en Microsoft Azure que admite estructuras como datos relacionales, JSON, espaciales y XML). Estos secretos se encuentran en el nivel de servicio para SharePoint Online, no en el nivel de inquilino. Estos secretos (a veces denominados claves maestras) se almacenan en un repositorio seguro independiente denominado Almacén de claves. TDE proporciona seguridad en reposo tanto para la base de datos activa como para las copias de seguridad de la base de datos y los registros de transacciones.
- Cuando los clientes proporcionan la clave opcional, la clave de cliente se almacena en Azure Key Vault y el servicio usa la clave para cifrar una clave de inquilino, que se usa para cifrar una clave de sitio, que luego se usa para cifrar las claves de nivel de archivo. Básicamente, se introduce una nueva jerarquía de claves cuando el cliente proporciona una clave.
El mapa usado para volver a ensamblar el archivo se almacena en la base de datos de contenido junto con las claves cifradas, por separado de la clave maestra necesaria para descifrarlas.
Cada cuenta de Azure Storage tiene sus propias credenciales únicas por tipo de acceso (lectura, escritura, enumeración y eliminación). Cada conjunto de credenciales se encuentra en el almacén de claves seguras y se actualiza periódicamente. Como se describió anteriormente, hay tres tipos diferentes de almacenes, cada uno con una función distinta:
- Los datos del cliente se almacenan como blobs cifrados en Azure Storage. La clave de cada fragmento de datos de cliente se cifra y almacena por separado en la base de datos de contenido. Los propios datos del cliente no contienen ninguna pista sobre cómo se pueden descifrar.
- La base de datos de contenido es una base de datos de SQL Server. Contiene el mapa necesario para buscar y volver a ensamblar los blobs de datos de clientes que se encuentran en Azure Storage, así como las claves necesarias para cifrar esos blobs. Sin embargo, el conjunto de claves se cifra (como se explicó anteriormente) y se mantiene en un almacén de claves independiente.
- El almacén de claves es físicamente independiente de Content Database y Azure Storage. Contiene las credenciales de cada contenedor de almacenamiento de Azure y la clave maestra del conjunto de claves cifradas que se mantienen en la base de datos de contenido.
Cada uno de estos tres componentes de almacenamiento (el almacén de blobs de Azure, la base de datos de contenido y el almacén de claves) es físicamente independiente. La información contenida en cualquiera de los componentes es inutilizable por sí misma. Sin acceso a los tres, es imposible recuperar las claves de los fragmentos, descifrar las claves para que sean utilizables, asociar las claves con sus fragmentos correspondientes, descifrar cada fragmento o reconstruir un documento a partir de sus fragmentos constituyentes.
Los certificados de BitLocker, que protegen los volúmenes de disco físico en las máquinas del centro de datos, se almacenan en un repositorio seguro (el almacén secreto de SharePoint Online) que está protegido por la clave de granja de servidores.
Las claves TDE que protegen las claves por blob se almacenan en dos ubicaciones:
- El repositorio seguro, que contiene los certificados de BitLocker y está protegido por la clave de granja de servidores; Y
- En un repositorio seguro administrado por Azure SQL Database.
Las credenciales usadas para acceder a los contenedores de almacenamiento de Azure también se mantienen en el almacén secreto de SharePoint Online y se delegan en cada granja de SharePoint Online según sea necesario. Estas credenciales son firmas sas de Almacenamiento de Azure, con credenciales independientes que se usan para leer o escribir datos, y con la directiva aplicada para que expiren automáticamente cada 60 días. Se usan credenciales diferentes para leer o escribir datos (no ambos) y las granjas de SharePoint Online no tienen permisos para enumerar.
Nota:
Para Office 365 clientes del Gobierno de EE. UU., los blobs en datos se almacenan en Azure U.S. Government Storage. Además, el acceso a las claves de SharePoint Online en Office 365 gobierno de EE. UU. se limita a Office 365 personal que se ha revisado específicamente. El personal de operaciones de Azure U.S. Government no tiene acceso al almacén de claves de SharePoint Online que se usa para cifrar blobs de datos.
Para obtener más información sobre el cifrado de datos en SharePoint Online y OneDrive para la Empresa, vea Cifrado de datos en OneDrive para la Empresa y SharePoint Online.
Enumerar elementos en SharePoint Online
Los elementos de lista son fragmentos más pequeños de datos de clientes que se crean ad hoc o que pueden vivir de forma más dinámica dentro de un sitio, como filas en una lista creada por el usuario, publicaciones individuales en un blog de SharePoint Online o entradas dentro de una página wiki de SharePoint Online. Los elementos de lista se almacenan en la base de datos de contenido (Azure SQL Database) y se protegen con TDE.
Cifrado de datos en tránsito
En OneDrive para la Empresa y SharePoint Online, hay dos escenarios en los que los datos entran y salen de los centros de datos.
- Comunicación de cliente con el servidor: la comunicación con SharePoint Online y OneDrive para la Empresa a través de Internet usa conexiones TLS.
- Movimiento de datos entre centros de datos : la razón principal para mover datos entre centros de datos es la replicación geográfica para habilitar la recuperación ante desastres. Por ejemplo, los registros de transacciones y diferencias de almacenamiento de blobs de SQL Server recorren esta canalización. Mientras que estos datos ya se transmiten mediante una red privada, tendrán una mayor protección con el mejor cifrado de su clase.
Exchange Online
Exchange Online usa BitLocker para todos los datos de buzón y la configuración de BitLocker se describe en BitLocker para cifrado. El cifrado de nivel de servicio cifra todos los datos del buzón en el nivel de buzón.
Además del cifrado de servicio, Microsoft 365 admite la clave de cliente, que se basa en el cifrado de servicio. La clave de cliente es una opción de clave administrada por Microsoft para Exchange Online cifrado de servicio que también está en la hoja de ruta de Microsoft. Este método de cifrado proporciona una mayor protección que BitLocker no ofrece porque proporciona la separación de los administradores del servidor y las claves criptográficas necesarias para el descifrado de datos, y dado que el cifrado se aplica directamente a los datos (a diferencia de BitLocker, que aplica el cifrado en el volumen de disco lógico), los datos de cliente copiados de un servidor de Exchange permanecen cifrados.
El ámbito del cifrado de Exchange Online servicio es los datos del cliente que se almacenan en reposo dentro de Exchange Online. (Skype Empresarial almacena casi todo el contenido generado por el usuario en el buzón Exchange Online del usuario y, por tanto, hereda la característica de cifrado del servicio de Exchange Online).
Microsoft Teams
Teams usa TLS y MTLS para cifrar mensajes instantáneos. Todo el tráfico de servidor a servidor requiere MTLS, independientemente de si el tráfico se limita a la red interna o cruza el perímetro de red interno.
En esta tabla se resumen los protocolos utilizados por Teams.
| Tipo de tráfico | Cifrado por |
|---|---|
| De servidor a servidor | MTLS |
| De cliente a servidor (por ejemplo, mensajería instantánea y presencia) | TLS |
| Flujos multimedia (por ejemplo, uso compartido de audio y vídeo de medios) | TLS |
| Uso compartido de audio y vídeo de medios | SRTP/TLS |
| Señalización | TLS |
Cifrado de medios
El tráfico de medios se cifra mediante RTP seguro (SRTP), que es un protocolo de transporte en tiempo real (RTP) que proporciona al tráfico RTP confidencialidad, autenticación y protección contra los ataques de reproducción. SRTP usa una clave de sesión generada mediante un generador de números aleatorios seguro y se intercambia mediante el canal TLS de señalización. El tráfico multimedia de cliente a cliente se negocia a través de una señalización de conexión de cliente a servidor, pero se cifra mediante SRTP al ir de cliente a cliente directamente.
Teams usa un token basado en credenciales para proteger el acceso a las retransmisiones multimedia a través de TURN. Las retransmisiones multimedia intercambian el token a través de un canal protegido por TLS.
FIPS
Teams usa algoritmos compatibles con FIPS (Estándar federal de procesamiento de información) para los intercambios de claves de cifrado. Para obtener más información sobre la implementación de FIPS, consulte la publicación 140-2 del Estándar federal de procesamiento de información (FIPS).
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de