Riesgos y protección de cifrado
Microsoft sigue un marco de control y cumplimiento que se centra en los riesgos para el servicio de Microsoft 365 y para los datos de los clientes. Microsoft implementa un gran conjunto de métodos basados en procesos y tecnología (denominados controles) para mitigar estos riesgos. La identificación, evaluación y mitigación de riesgos a través de controles es un proceso continuo.
La implementación de controles en varias capas de nuestros servicios en la nube, como instalaciones, red, servidores, aplicaciones, usuarios (como administradores de Microsoft) y datos, forma una estrategia de defensa en profundidad. La clave de esta estrategia es que muchos controles diferentes se implementan en diferentes capas para protegerse frente a los mismos escenarios de riesgo o similares. Este enfoque multicapa proporciona protección contra errores en caso de que se produzca un error en un control por algún motivo.
A continuación se enumeran algunos escenarios de riesgo y las tecnologías de cifrado disponibles actualmente que las mitigan. En muchos casos, estos escenarios también se mitigan mediante otros controles implementados en Office 365.
| Tecnología de cifrado | Servicios | Administración de claves | Escenario de riesgo | Valor |
|---|---|---|---|---|
| BitLocker | Exchange Online, SharePoint Online y Skype Empresarial | Microsoft | Los discos o servidores son robados o reciclados incorrectamente. | BitLocker proporciona un enfoque a prueba de errores para protegerse contra la pérdida de datos debido a hardware robado o mal reciclado (servidor o disco). |
| Cifrado de servicio | SharePoint Online, Skype Empresarial y OneDrive para la Empresa; Exchange Online | Microsoft | Un hacker interno o externo intenta acceder a archivos o datos individuales como blob. | Los datos cifrados no se pueden descifrar sin acceso a las claves. Ayuda a mitigar el riesgo de que un hacker acceda a los datos. |
| Clave de cliente | SharePoint Online, OneDrive para la Empresa, Exchange Online y Skype Empresarial | Clientes | N/A (Esta característica está diseñada como una característica de cumplimiento; no como mitigación de ningún riesgo). | Ayuda a los clientes a cumplir las obligaciones internas de regulación y cumplimiento, así como a la capacidad de abandonar el servicio y revocar el acceso de Microsoft a los datos. |
| TLS entre Microsoft 365 y clientes | Exchange Online, SharePoint Online, OneDrive para la Empresa, Skype Empresarial, Teams y Viva Engage | Microsoft, Customer | Ataque man-in-the-middle u otro ataque para pulsar el flujo de datos entre Microsoft 365 y los equipos cliente a través de Internet. | Esta implementación proporciona valor tanto a Microsoft como a los clientes y garantiza la integridad de los datos a medida que fluye entre Microsoft 365 y el cliente. |
| TLS entre centros de datos de Microsoft | Exchange Online, SharePoint Online, OneDrive para la Empresa y Skype Empresarial | Microsoft | Ataque man-in-the-middle u otro ataque para pulsar el flujo de datos del cliente entre los servidores de Microsoft 365 ubicados en diferentes centros de datos de Microsoft. | Esta implementación es otro método para proteger los datos frente a ataques entre centros de datos de Microsoft. |
| Azure Rights Management (incluido en Microsoft 365 o Azure Information Protection) | Exchange Online, SharePoint Online y OneDrive para la Empresa | Clientes | Los datos están en manos de una persona que no debe tener acceso a los datos. | Azure Information Protection usa Azure RMS, que proporciona valor a los clientes mediante directivas de cifrado, identidad y autorización para ayudar a proteger los archivos y el correo electrónico en varios dispositivos. Azure RMS proporciona valor a los clientes donde todos los correos electrónicos procedentes de Microsoft 365 que coinciden con determinados criterios (es decir, todos los correos electrónicos a una dirección determinada) se pueden cifrar automáticamente antes de que se envíen a otro destinatario. |
| S/MIME | Exchange Online | Clientes | Email cae en manos de una persona que no es el destinatario previsto. | S/MIME proporciona valor a los clientes asegurándose de que el correo electrónico cifrado con S/MIME solo puede ser descifrado por el destinatario directo del correo electrónico. |
| Cifrado de mensajes de Office 365 | Exchange Online, SharePoint Online | Clientes | Email, incluidos los datos adjuntos protegidos, está en manos de una persona dentro o fuera de Microsoft 365 que no es el destinatario previsto del correo electrónico. | OME proporciona valor a los clientes donde todos los correos electrónicos procedentes de Microsoft 365 que coinciden con determinados criterios (es decir, todos los correos electrónicos a una dirección determinada) se cifran automáticamente antes de que se envíen a otro destinatario interno o externo. |
| TLS de SMTP con la organización asociada | Exchange Online | Clientes | Email se intercepta a través de un ataque de tipo man-in-the-middle u otro ataque mientras está en tránsito desde un inquilino de Microsoft 365 a otra organización asociada. | Este escenario proporciona valor al cliente para que pueda enviar o recibir todos los correos electrónicos entre su inquilino de Microsoft 365 y la organización de correo electrónico de su asociado dentro de un canal SMTP cifrado. |
Sugerencia
Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.
Tecnologías de cifrado disponibles en entornos multiinquilino
| Tecnología de cifrado | Implementado por | Algoritmo y fuerza de intercambio de claves | Administración de claves* | FIPS 140-2 Validado |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES de 256 bits | La clave externa AES se almacena en un secreto seguro y en el registro del servidor exchange. Secret Safe es un repositorio protegido que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Sí |
| SharePoint Online | AES de 256 bits | La clave externa AES se almacena en un secreto seguro. Secret Safe es un repositorio protegido que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Sí | |
| Skype Empresarial | AES de 256 bits | La clave externa AES se almacena en un secreto seguro. Secret Safe es un repositorio protegido que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Sí | |
| Cifrado de servicio | SharePoint Online | AES de 256 bits | Las claves usadas para cifrar los blobs se almacenan en la base de datos de contenido de SharePoint Online. La base de datos de contenido de SharePoint Online está protegida por controles de acceso a la base de datos y cifrado en reposo. El cifrado se realiza mediante TDE en Azure SQL Database. Estos secretos se encuentran en el nivel de servicio para SharePoint Online, no en el nivel de inquilino. Estos secretos (a veces denominados claves maestras) se almacenan en un repositorio seguro independiente denominado Almacén de claves. TDE proporciona seguridad en reposo tanto para la base de datos activa como para las copias de seguridad de la base de datos y los registros de transacciones. Cuando los clientes proporcionan la clave opcional, la clave de cliente se almacena en Azure Key Vault y el servicio usa la clave para cifrar una clave de inquilino, que se usa para cifrar una clave de sitio, que luego se usa para cifrar las claves de nivel de archivo. Básicamente, se introduce una nueva jerarquía de claves cuando el cliente proporciona una clave. | Sí |
| Skype Empresarial | AES de 256 bits | Cada fragmento de datos se cifra mediante una clave de 256 bits generada aleatoriamente diferente. La clave de cifrado se almacena en un archivo XML de metadatos correspondiente, que también se cifra mediante una clave maestra por conferencia. La clave maestra también se genera aleatoriamente una vez por conferencia. | Sí | |
| Exchange Online | AES de 256 bits | Cada buzón de correo se cifra mediante una directiva de cifrado de datos que usa claves de cifrado controladas por Microsoft o por el cliente (cuando se usa la clave de cliente). | Sí | |
| TLS entre Microsoft 365 y clientes o asociados | Exchange Online | TLS oportunista que admite varios conjuntos de cifrado | El certificado TLS para Exchange Online (outlook.office.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Exchange Online es un certificado de SHA1RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí, cuando se usa TLS 1.2 con seguridad de cifrado de 256 bits |
| SharePoint Online | TLS 1.2 con AES 256 Cifrado de datos en OneDrive para la Empresa y SharePoint Online |
El certificado TLS para SharePoint Online (*.sharepoint.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para SharePoint Online es un certificado de SHA1RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí | |
| Skype Empresarial | TLS para comunicaciones SIP y sesiones de uso compartido de datos de PSOM | El certificado TLS para Skype Empresarial (*.lync.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Skype Empresarial es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí | |
| Microsoft Teams | TLS 1.2 con AES 256 Preguntas más frecuentes sobre Microsoft Teams: Ayuda Administración |
El certificado TLS para Microsoft Teams (teams.microsoft.com, edge.skype.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Microsoft Teams es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí | |
| TLS entre centros de datos de Microsoft | Todos los servicios de Microsoft 365 | TLS 1.2 con AES 256 Protocolo de transporte seguro en tiempo real (SRTP) |
Microsoft usa una entidad de certificación administrada e implementada internamente para las comunicaciones de servidor a servidor entre centros de datos de Microsoft. | Sí |
| Azure Rights Management (incluido en Microsoft 365 o Azure Information Protection) | Exchange Online | Admite el modo criptográfico 2, una implementación criptográfica rms actualizada y mejorada. Admite RSA 2048 para la firma y el cifrado, y SHA-256 para hash en la firma. | Administrado por Microsoft. | Sí |
| SharePoint Online | Admite el modo criptográfico 2, una implementación criptográfica rms actualizada y mejorada. Admite RSA 2048 para la firma y el cifrado, y SHA-256 para la firma. | Administrado por Microsoft, que es la configuración predeterminada; O Administrado por el cliente, que es una alternativa a las claves administradas por Microsoft. Las organizaciones que tienen una suscripción de Azure administrada por TI pueden usar BYOK y registrar su uso sin cargo adicional. Para obtener más información, consulte Implementación de traiga su propia clave. En esta configuración, se usan HSM nCipher para proteger las claves. |
Sí | |
| S/MIME | Exchange Online | Sintaxis de mensajes criptográficos estándar 1.5 (PKCS #7) | Depende de la infraestructura de clave pública administrada por el cliente implementada. El cliente realiza la administración de claves y Microsoft nunca tiene acceso a las claves privadas usadas para la firma y el descifrado. | Sí, cuando se configura para cifrar los mensajes salientes con 3DES o AES256 |
| Cifrado de mensajes de Office 365 | Exchange Online | Igual que Azure RMS (modo criptográfico 2 : RSA 2048 para firma y cifrado, y SHA-256 para firma) | Usa Azure Information Protection como su infraestructura de cifrado. El método de cifrado utilizado depende de dónde obtiene las claves de RMS utilizadas para cifrar y descifrar mensajes. | Sí |
| TLS de SMTP con la organización asociada | Exchange Online | TLS 1.2 con AES 256 | El certificado TLS para Exchange Online (outlook.office.com) es un certificado SHA-256 de 2048 bits con cifrado RSA emitido por DigiCert Cloud Services CA-1. El certificado raíz TLS para Exchange Online es un SHA-1 de 2048 bits con certificado de cifrado RSA emitido por GlobalSign Root CA – R1. Tenga en cuenta que, por motivos de seguridad, nuestros certificados cambian de vez en cuando. |
Sí, cuando se usa TLS 1.2 con seguridad de cifrado de 256 bits |
*Los certificados TLS a los que se hace referencia en esta tabla son para centros de datos de EE. UU.; Los centros de datos que no son de EE. UU. también usan certificados de SHA256RSA de 2048 bits.
Tecnologías de cifrado disponibles en entornos de la comunidad en la nube de Government
| Tecnología de cifrado | Implementado por | Algoritmo y fuerza de intercambio de claves | Administración de claves* | FIPS 140-2 Validado |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES de 256 bits | La clave externa AES se almacena en un secreto seguro y en el registro del servidor exchange. Secret Safe es un repositorio protegido que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Sí |
| SharePoint Online | AES de 256 bits | La clave externa AES se almacena en un secreto seguro. Secret Safe es un repositorio protegido que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Sí | |
| Skype Empresarial | AES de 256 bits | La clave externa AES se almacena en un secreto seguro. Secret Safe es un repositorio protegido que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Sí | |
| Cifrado de servicio | SharePoint Online | AES de 256 bits | Las claves usadas para cifrar los blobs se almacenan en la base de datos de contenido de SharePoint Online. Las bases de datos de contenido de SharePoint Online están protegidas por controles de acceso a la base de datos y cifrado en reposo. El cifrado se realiza mediante TDE en Azure SQL Database. Estos secretos se encuentran en el nivel de servicio para SharePoint Online, no en el nivel de inquilino. Estos secretos (a veces denominados claves maestras) se almacenan en un repositorio seguro independiente denominado Almacén de claves. TDE proporciona seguridad en reposo tanto para la base de datos activa como para las copias de seguridad de la base de datos y los registros de transacciones. Cuando los clientes proporcionan la clave opcional, la clave de cliente se almacena en Azure Key Vault y el servicio usa la clave para cifrar una clave de inquilino, que se usa para cifrar una clave de sitio, que luego se usa para cifrar las claves de nivel de archivo. Básicamente, se introduce una nueva jerarquía de claves cuando el cliente proporciona una clave. | Sí |
| Skype Empresarial | AES de 256 bits | Cada fragmento de datos se cifra mediante una clave de 256 bits generada aleatoriamente diferente. La clave de cifrado se almacena en un archivo XML de metadatos correspondiente, que también se cifra mediante una clave maestra por conferencia. La clave maestra también se genera aleatoriamente una vez por conferencia. | Sí | |
| Exchange Online | AES de 256 bits | Cada buzón de correo se cifra mediante una directiva de cifrado de datos que usa claves de cifrado controladas por Microsoft o por el cliente (cuando se usa la clave de cliente). | Sí | |
| TLS entre Microsoft 365 y clientes o asociados | Exchange Online | TLS oportunista que admite varios conjuntos de cifrado | El certificado TLS para Exchange Online (outlook.office.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Exchange Online es un certificado de SHA1RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí, cuando se usa TLS 1.2 con seguridad de cifrado de 256 bits |
| SharePoint Online | TLS 1.2 con AES 256 | El certificado TLS para SharePoint Online (*.sharepoint.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para SharePoint Online es un certificado de SHA1RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí | |
| Skype Empresarial | TLS para comunicaciones SIP y sesiones de uso compartido de datos de PSOM | El certificado TLS para Skype Empresarial (*.lync.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Skype Empresarial es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí | |
| Microsoft Teams | Preguntas más frecuentes sobre Microsoft Teams: Ayuda Administración | El certificado TLS para Microsoft Teams (teams.microsoft.com; edge.skype.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Microsoft Teams es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí | |
| TLS entre centros de datos de Microsoft | Exchange Online, SharePoint Online, Skype Empresarial | TLS 1.2 con AES 256 | Microsoft usa una entidad de certificación administrada e implementada internamente para las comunicaciones de servidor a servidor entre centros de datos de Microsoft. | Sí |
| Protocolo de transporte seguro en tiempo real (SRTP) | ||||
| servicio Azure Rights Management | Exchange Online | Admite el modo criptográfico 2, una implementación criptográfica rms actualizada y mejorada. Admite RSA 2048 para la firma y el cifrado, y SHA-256 para hash en la firma. | Administrado por Microsoft. | Sí |
| SharePoint Online | Admite el modo criptográfico 2, una implementación criptográfica rms actualizada y mejorada. Admite RSA 2048 para la firma y el cifrado, y SHA-256 para hash en la firma. | Administrado por Microsoft, que es la configuración predeterminada; O Administrado por el cliente (también conocido como BYOK), que es una alternativa a las claves administradas por Microsoft. Las organizaciones que tienen una suscripción de Azure administrada por TI pueden usar BYOK y registrar su uso sin cargo adicional. Para obtener más información, consulte Implementación de traiga su propia clave. En el escenario BYOK, se usan HSM nCipher para proteger las claves. |
Sí | |
| S/MIME | Exchange Online | Sintaxis de mensajes criptográficos estándar 1.5 (PKCS #7) | Depende de la infraestructura de clave pública implementada. | Sí, cuando se configura para cifrar los mensajes salientes con 3DES o AES-256. |
| Cifrado de mensajes de Office 365 | Exchange Online | Igual que Azure RMS (modo criptográfico 2 : RSA 2048 para firma y cifrado, y SHA-256 para hash en la firma) | Usa Azure RMS como su infraestructura de cifrado. El método de cifrado utilizado depende de dónde obtiene las claves de RMS utilizadas para cifrar y descifrar mensajes. Si usa Microsoft Azure RMS para obtener las claves, se usa el modo criptográfico 2. Si usa Active Directory (AD) RMS para obtener las claves, se utiliza el modo criptográfico 1 o el modo criptográfico 2. El método empleado depende de la implementación local de AD RMS. El modo criptográfico 1 es la implementación criptográfica original de AD RMS. Admite RSA 1024 para la firma y el cifrado y admite SHA-1 para la firma. Este modo sigue siendo compatible con todas las versiones actuales de RMS, excepto para las configuraciones BYOK que usan HSM. |
Sí |
| TLS de SMTP con la organización asociada | Exchange Online | TLS 1.2 con AES 256 | El certificado TLS para Exchange Online (outlook.office.com) es un certificado SHA-256 de 2048 bits con cifrado RSA emitido por DigiCert Cloud Services CA-1. El certificado raíz TLS para Exchange Online es un SHA-1 de 2048 bits con certificado de cifrado RSA emitido por GlobalSign Root CA – R1. Tenga en cuenta que, por motivos de seguridad, nuestros certificados cambian de vez en cuando. |
Sí, cuando se usa TLS 1.2 con seguridad de cifrado de 256 bits |
*Los certificados TLS a los que se hace referencia en esta tabla son para centros de datos de EE. UU.; Los centros de datos que no son de EE. UU. también usan certificados de SHA256RSA de 2048 bits.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de