Chiffrement pour Skype Entreprise, OneDrive Entreprise, SharePoint Online, Microsoft Teams et Exchange Online
Microsoft 365 est un environnement hautement sécurisé qui offre une protection étendue dans plusieurs couches : sécurité des centres de données physiques, sécurité réseau, sécurité d’accès, sécurité des applications et sécurité des données.
Skype Entreprise
Skype Entreprise données client peuvent être stockées au repos sous la forme de fichiers ou de présentations chargés par les participants à la réunion. Le serveur de conférence web chiffre les données client à l’aide d’AES avec une clé 256 bits. Les données client chiffrées sont stockées sur un partage de fichiers. Chaque élément de données client est chiffré à l’aide d’une clé de 256 bits générée de manière aléatoire différente. Lorsqu’un élément de données client est partagé dans une conférence, le serveur de conférence web demande aux clients de conférence de télécharger les données client chiffrées via HTTPS. Il envoie la clé correspondante aux clients afin que les données client puissent être déchiffrées. Le serveur de conférence web authentifie également les clients de conférence avant d’autoriser les clients à accéder aux données client de conférence. Lors de la participation à une conférence web, chaque client de conférence établit d’abord une boîte de dialogue SIP avec le composant focus de conférence s’exécutant à l’intérieur du serveur frontal via TLS. Le focus de conférence transmet au client de conférence un cookie d’authentification généré par le serveur de conférence web. Le client de conférence se connecte ensuite au serveur de conférence web présentant le cookie d’authentification à authentifier par le serveur.
Sharepoint Online et OneDrive Entreprise
Tous les fichiers clients dans SharePoint Online sont protégés par des clés uniques par fichier qui sont toujours exclusives à un seul locataire. Les clés sont soit créées et gérées par le service SharePoint Online, soit lorsque la clé client est utilisée, créée et gérée par les clients. Lorsqu’un fichier est chargé, le chiffrement est effectué par SharePoint Online dans le contexte de la demande de chargement, avant d’être envoyé au stockage Azure. Lorsqu’un fichier est téléchargé, SharePoint Online récupère les données client chiffrées à partir du stockage Azure en fonction de l’identificateur de document unique et déchiffre les données client avant de les envoyer à l’utilisateur. Le stockage Azure n’a pas la possibilité de déchiffrer, ni même d’identifier ou de comprendre les données client. Tous les chiffrements et déchiffrements se produisent dans les mêmes systèmes qui appliquent l’isolation du locataire, qui sont Microsoft Entra ID et SharePoint Online.
Plusieurs charges de travail dans Microsoft 365 stockent des données dans SharePoint Online, notamment Microsoft Teams, qui stocke tous les fichiers dans SharePoint Online, et OneDrive Entreprise, qui utilise SharePoint Online pour son stockage. Toutes les données client stockées dans SharePoint Online sont chiffrées (avec une ou plusieurs clés AES 256 bits) et distribuées dans le centre de données comme suit. (Chaque étape de ce processus de chiffrement est validée FIPS 140-2 De niveau 2. Pour plus d’informations sur la conformité FIPS 140-2, consultez Conformité FIPS 140-2.)
Chaque fichier est divisé en un ou plusieurs blocs, en fonction de la taille du fichier. Chaque bloc est chiffré à l’aide de sa propre clé AES 256 bits unique.
Lorsqu’un fichier est mis à jour, la mise à jour est gérée de la même façon : la modification est divisée en un ou plusieurs blocs, et chaque bloc est chiffré avec une clé unique distincte.
Ces blocs ( fichiers, morceaux de fichiers et deltas de mise à jour) sont stockés sous forme d’objets blob dans le stockage Azure qui sont distribués de manière aléatoire sur plusieurs comptes de stockage Azure.
L’ensemble de clés de chiffrement pour ces blocs de données client est lui-même chiffré.
- Les clés utilisées pour chiffrer les objets blob sont stockées dans la base de données de contenu SharePoint Online.
- La base de données de contenu est protégée par des contrôles d’accès à la base de données et un chiffrement au repos. Le chiffrement est effectué à l’aide de Transparent Data Encryption (TDE) dans Azure SQL Database. (Azure SQL Database est un service de base de données relationnelle à usage général dans Microsoft Azure qui prend en charge des structures telles que les données relationnelles, JSON, spatiales et XML.) Ces secrets sont au niveau du service pour SharePoint Online, et non au niveau du locataire. Ces secrets (parfois appelés clés master) sont stockés dans un dépôt sécurisé distinct appelé magasin de clés. TDE assure la sécurité au repos de la base de données active et des sauvegardes de base de données et des journaux des transactions.
- Lorsque les clients fournissent la clé facultative, la clé client est stockée dans Azure Key Vault, et le service utilise la clé pour chiffrer une clé de locataire, qui est utilisée pour chiffrer une clé de site, qui est ensuite utilisée pour chiffrer les clés de niveau fichier. Essentiellement, une nouvelle hiérarchie de clés est introduite lorsque le client fournit une clé.
La carte utilisée pour assembler le fichier est stockée dans la base de données de contenu avec les clés chiffrées, séparément de la clé master nécessaire pour les déchiffrer.
Chaque compte de stockage Azure a ses propres informations d’identification uniques par type d’accès (lecture, écriture, énumération et suppression). Chaque jeu d’informations d’identification est conservé dans le magasin de clés sécurisé et est régulièrement actualisé. Comme décrit ci-dessus, il existe trois types de magasins différents, chacun avec une fonction distincte :
- Les données client sont stockées sous forme d’objets blob chiffrés dans le stockage Azure. La clé de chaque bloc de données client est chiffrée et stockée séparément dans la base de données de contenu. Les données client elles-mêmes ne contiennent aucune idée de la façon dont elles peuvent être déchiffrées.
- La base de données de contenu est une base de données SQL Server. Il contient la carte requise pour localiser et réassembler les objets blob de données client conservés dans le stockage Azure, ainsi que les clés nécessaires pour chiffrer ces objets blob. Toutefois, l’ensemble de clés est lui-même chiffré (comme expliqué ci-dessus) et conservé dans un magasin de clés distinct.
- Le magasin de clés est physiquement distinct de la base de données de contenu et du stockage Azure. Il contient les informations d’identification de chaque conteneur de stockage Azure et la clé master à l’ensemble de clés chiffrées contenues dans la base de données de contenu.
Chacun de ces trois composants de stockage ( le magasin d’objets blob Azure, la base de données de contenu et le magasin de clés) est physiquement distinct. Les informations contenues dans l’un des composants sont inutilisables en elles-mêmes. Sans accès aux trois, il est impossible de récupérer les clés des blocs, de déchiffrer les clés pour les rendre utilisables, d’associer les clés à leurs blocs correspondants, de déchiffrer chaque bloc ou de reconstruire un document à partir de ses blocs constitutifs.
Les certificats BitLocker, qui protègent les volumes de disques physiques sur les machines du centre de données, sont stockés dans un référentiel sécurisé (le magasin de secrets SharePoint Online) protégé par la clé de batterie de serveurs.
Les clés TDE qui protègent les clés par objet blob sont stockées dans deux emplacements :
- Le dépôt sécurisé, qui héberge les certificats BitLocker et est protégé par la clé de batterie de serveurs ; Et
- Dans un dépôt sécurisé géré par Azure SQL Database.
Les informations d’identification utilisées pour accéder aux conteneurs de stockage Azure sont également conservées dans le magasin de secrets SharePoint Online et déléguées à chaque batterie de serveurs SharePoint Online en fonction des besoins. Ces informations d’identification sont des signatures SAP de stockage Azure, avec des informations d’identification distinctes utilisées pour lire ou écrire des données, et avec une stratégie appliquée pour qu’elles expirent automatiquement tous les 60 jours. Différentes informations d’identification sont utilisées pour lire ou écrire des données (pas les deux) et les batteries de serveurs SharePoint Online ne sont pas autorisées à énumérer.
Remarque
Pour Office 365 clients du gouvernement des États-Unis, les objets blob de données sont stockés dans le stockage Azure U.S. Government. En outre, l’accès aux clés SharePoint Online dans Office 365 gouvernement des États-Unis est limité à Office 365 personnel qui ont été sélectionnés spécifiquement. Le personnel des opérations Azure U.S. Government n’a pas accès au magasin de clés SharePoint Online utilisé pour chiffrer les objets blob de données.
Pour plus d’informations sur le chiffrement des données dans SharePoint Online et OneDrive Entreprise, voir Chiffrement des données dans OneDrive Entreprise et SharePoint Online.
Éléments de liste dans SharePoint Online
Les éléments de liste sont des segments plus petits de données client qui sont créés ad hoc ou qui peuvent résider plus dynamiquement dans un site, comme des lignes dans une liste créée par l’utilisateur, des billets individuels dans un blog SharePoint Online ou des entrées dans une page wiki SharePoint Online. Les éléments de liste sont stockés dans la base de données de contenu (base de données Azure SQL) et protégés par TDE.
Chiffrement des données lors de leur transport
Dans OneDrive Entreprise et SharePoint Online, il existe deux scénarios dans lesquels les données entrent et sortent des centres de données.
- Communication du client avec le serveur : la communication avec SharePoint Online et OneDrive Entreprise via Internet utilise des connexions TLS.
- Déplacement des données entre les centres de données : la principale raison de déplacer des données entre les centres de données est la géoréplication pour activer la récupération d’urgence. Par exemple, les deltas de stockage d'objets blob et les journaux de transaction SQL Server transitent par ce canal. Alors que ces données sont déjà transmises par le biais d'un réseau privé, elles sont encore mieux protégées à l'aide du meilleur chiffrement de sa catégorie.
Exchange Online
Exchange Online utilise BitLocker pour toutes les données de boîte aux lettres, et la configuration BitLocker est décrite dans BitLocker pour le chiffrement. Le chiffrement au niveau du service chiffre toutes les données de boîte aux lettres au niveau de la boîte aux lettres.
En plus du chiffrement de service, Microsoft 365 prend en charge la clé client, qui repose sur le chiffrement de service. La clé client est une option de clé gérée par Microsoft pour Exchange Online chiffrement du service qui figure également dans la feuille de route de Microsoft. Cette méthode de chiffrement offre une protection accrue non offerte par BitLocker, car elle assure la séparation des administrateurs de serveur et des clés de chiffrement nécessaires au déchiffrement des données, et parce que le chiffrement est appliqué directement aux données (contrairement à BitLocker, qui applique le chiffrement au volume de disque logique), toutes les données client copiées à partir d’un serveur Exchange restent chiffrées.
L’étendue du chiffrement de service Exchange Online est celle des données client stockées au repos dans Exchange Online. (Skype Entreprise stocke presque tout le contenu généré par l’utilisateur dans la boîte aux lettres Exchange Online de l’utilisateur et hérite donc de la fonctionnalité de chiffrement de service de Exchange Online.)
Microsoft Teams
Teams utilise TLS et MTLS pour chiffrer les messages instantanés. Tout le trafic de serveur à serveur nécessite MTLS, que le trafic soit limité au réseau interne ou qu’il traverse le périmètre du réseau interne.
Ce tableau récapitule les protocoles utilisés par Teams.
| Type de trafic | Chiffré par |
|---|---|
| Serveur à serveur | MTLS |
| Client à serveur (par exemple, messagerie instantanée et présence) | TLS |
| Flux multimédias (par exemple, partage audio et vidéo de médias) | TLS |
| Partage audio et vidéo de médias | SRTP/TLS |
| Signalisation | TLS |
Chiffrement des données multimédias
Le trafic multimédia est chiffré à l’aide du protocole SRTP (Secure RTP), un profil du protocole RTP (Real-Time Transport Protocol). SRTP utilise une clé de session générée à l’aide d’un générateur de nombres aléatoires sécurisé et est échangé à l’aide du canal TLS de signalisation. Le trafic multimédia client à client est négocié par le biais d’une signalisation de connexion client à serveur, mais il est chiffré à l’aide de SRTP lors de l’accès client à client directement.
Teams utilise un jeton basé sur les informations d’identification pour sécuriser l’accès aux relais multimédias sur TURN. Les relais multimédias échangent le jeton sur un canal sécurisé TLS.
FIPS
Teams utilise des algorithmes compatibles FIPS (Federal Information Processing Standard) pour les échanges de clés de chiffrement. Pour plus d’informations sur l’implémentation de FIPS, consultez la publication 140-2 de la norme FIPS (Federal Information Processing Standard).
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour