Javaslatok az adattitkosításhoz
A jól felépített biztonsági ellenőrzőlistára vonatkozó javaslatra Power Platform vonatkozik:
| SE:06 | Az adatokat modern, iparági szabványnak megfelelő módszerekkel titkosíthatja a titkosság és az integritás védelme érdekében. A titkosítási hatókör igazítása az adatbesorolásokhoz; Rangsorolja a natív platformtitkosítási módszereket. |
|---|
Ha az adatai nem védettek, rosszindulatúan módosíthatók, ami az integritás és a titkosság elvesztéséhez vezethet.
Ez az útmutató az adatok titkosítására és védelmére vonatkozó javaslatokat ismerteti. A titkosítás az a folyamat, amelynek során kriptográfiai algoritmusokat használnak az adatok olvashatatlanná tételére és az adatok kulccsal való zárolására. Titkosított állapotban az adatok nem fejthetők meg. Csak a titkosítási kulccsal párosított kulccsal lehet visszafejteni.
Meghatározások
| Kifejezések | Definíció |
|---|---|
| Tanúsítványok | Digitális fájlok, amelyek a titkosításhoz vagy visszafejtéshez szükséges nyilvános kulcsokat tartalmazzák. |
| Visszafejtés | Az a folyamat, amelyben a titkosított adatok titkos kóddal vannak feloldva. |
| Titkosítás | Az a folyamat, amellyel az adatokat olvashatatlanná teszik és titkos kóddal zárolják. |
| Kulcsok | A titkosított adatok zárolásához vagy feloldásához használt titkos kód. |
Fő tervezési stratégiák
A szervezeti előírások vagy szabályozási követelmények titkosítási mechanizmusokat kényszeríthetnek ki. Előfordulhat például, hogy az adatoknak csak a kiválasztott régióban kell maradniuk, és az adatok másolatai ebben a régióban maradnak.
Ezek a követelmények gyakran az alap minimum. Törekedjen a magasabb szintű védelemre. Ön felelős a bizalmas adatok kiszivárgásának és a bizalmas adatok manipulálásának megakadályozásáért, legyen szó külső felhasználói adatokról vagy alkalmazotti adatokról.
Az adatok a szervezet legértékesebb és pótolhatatlan eszköz, és a titkosítás az utolsó és legerősebb védelmi vonalként szolgál a többrétegű adatbiztonsági stratégiában. Microsoft Az üzleti felhőszolgáltatások és -termékek titkosítással védik az ügyféladatokat, és segítenek fenntartani az irányítást felettük.
Titkosítási forgatókönyvek
A titkosítási mechanizmusoknak valószínűleg három szakaszban kell védeniük az adatokat:
Az inaktív adatok a tárolóobjektumokban tárolt összes információ. Alapértelmezés szerint Microsoft a környezetek adatbázis-titkosítási kulcsát egy Microsoft felügyelt kulccsal tárolja és kezeli. Power Platform Azonban egy ügyfél által felügyelt titkosítási kulcsot (CMK) biztosít a további adatvédelmi vezérléshez, ahol önállóan kezelheti az adatbázis-titkosítási kulcsot.
A feldolgozás alatt álló adatok olyan adatok, amelyeket interaktív forgatókönyv részeként használnak, vagy amikor egy háttérfolyamat, például egy frissítés megérinti azt. A Power Platform a feldolgozás alatt lévő adatokat egy vagy több szolgáltatás számítási feladatának memóriájába tölti be. A számítási feladat működésének megkönnyítése érdekében a memóriában tárolt adatok nem titkosítottak.
Az átvitel alatt álló adatok olyan információk, amelyek összetevők, helyek vagy programok között kerülnek átvitelre. Az Azure iparági szabványnak megfelelő átviteli protokollokat, például Transport réteg Security (TLS) protokollt használ a felhasználói eszközök és Microsoft az adatközpontok között, valamint magukon az adatközpontokon belül.
Natív titkosítási mechanizmusok
Alapértelmezés szerint Microsoft a környezetek adatbázis-titkosítási kulcsát egy Microsoft felügyelt kulccsal tárolja és kezeli. Power Platform Azonban egy ügyfél által felügyelt titkosítási kulcsot (CMK) biztosít a további adatvédelmi vezérléshez, ahol önállóan kezelheti az adatbázis-titkosítási kulcsot. A titkosítási kulcs a saját Azure Key Vaultjában található, amely lehetővé teszi a titkosítási kulcs igény szerinti elforgatását vagy cseréjét. Azt is lehetővé teszi, hogy megakadályozza Microsoft az ügyféladatokhoz való hozzáférést, amikor bármikor visszavonja a szolgáltatásainkhoz való kulcshozzáférést.
Titkosítási kulcsok
Alapértelmezés szerint a Power Platform szolgáltatások felügyelt titkosítási kulcsokat használnak Microsoft az adatok titkosításához és visszafejtéséhez. Az Azure felelős a kulcskezelésért.
Választhat ügyfél által kezelt kulcsokat. Power Platform Továbbra is használja a kulcsokat, de Ön felelős a kulcsműveletekért.
Power Platform Megkönnyítése
A következő szakaszok az adatok titkosításához használható funkciókat és képességeket ismertetik Power Platform .
Ügyfél által kezelt kulcs
Alapértelmezés szerint az összes Power Platform tárolt ügyféladat erősen Microsoft felügyelt titkosítási kulccsal van titkosítva. Az adatvédelmi és megfelelőségi követelményekkel rendelkező szervezetek az adataik biztonsága és a saját kulcsaik kezelése érdekében használhatják az ügyfél által felügyelt kulcs képességet. Az ügyfél által felügyelt kulcs további adatvédelmet biztosít, ahol Ön kezelheti a környezetéhez Dataverse társított adattitkosítási kulcsot. Ezzel a képességgel igény szerint elforgathatja vagy felcserélheti a titkosítási kulcsokat. Emellett megakadályozza Microsoft , hogy hozzáférjen az adataihoz, amikor visszavonja a kulcsot a szolgáltatásból. További információ: Az ügyfél által felügyelt titkosítási kulcs kezelése.
Adattárolási hely
Az Azure Active Directory (Azure AD) bérlő a szervezethez és annak biztonságához kapcsolódó információkat tárol. Amikor egy Azure AD bérlő a Power Platform szolgáltatásra jelentkezik, a bérlő kiválasztott országa vagy régiója arra a legmegfelelőbb Azure földrajzi régióra lesz letérképezve, ahol a Power Platform telepítés van. A Power Platform az ügyféladatokat a bérlőhöz rendelt Azure földrajzi régióban vagy az otthoni geoban tárolja, kivéve ha a szervezetek több régióban telepítik a szolgáltatásokat.
A Power Platform-szolgáltatások csak bizonyos Azure földrajzi régiókban érhetők el. További információ a szolgáltatások elérhetőségéről, az adatok tárolási helyéről Power Platform és felhasználásáról: Microsoft Adatvédelmi központ. Az inaktív ügyféladatok helyére vonatkozó kötelezettségvállalásokat az Microsoft Online Szolgáltatások Feltételeinek Adatfeldolgozási feltételei határozzák meg. Microsoft Adatközpontokat is biztosít szuverén entitások számára.
A generatív AI-funkciókhoz való hozzáférés Copilot Studio az Egyesült Államokon kívüli régiókból a regionális határokon átnyúló adatáthelyezésteredményez. Ez az adatáthelyezés engedélyezhető és letiltható Power Platform. További információ: A másodpilótákkal és a generatív AI-funkciókkal foglalkozó régiók. A földrajzi adattárolási hely Microsoft Copilot Studio robusztus keretet biztosít az adatbiztonság és a helyi szabályozásoknak való megfelelés biztosításához. A saját natív biztonsági funkciói Copilot Studio mellett az Azure-infrastruktúrát is kihasználva biztonságos és megfelelő adattárolási lehetőségeket biztosít. További információ az adatok tárolási helyéről, valamint Copilot Studio a Földrajzi adattárolási hely és a Copilot Studio Biztonsági és földrajzi adattárolási hely Copilot Studio.
Inaktív adatok
Hacsak a dokumentáció másképp nem rendelkezik, az ügyféladatok tárolása az eredeti forrásban történi (például Dataverse vagy SharePoint). A rendszer Power Platform által megőrzött összes adat alapértelmezés szerint Microsoft a felügyelt kulcsokkal van titkosítva.
Az adatok feldolgozása
Az adatok feldolgozás alatt vannak, ha interaktív forgatókönyv részeként használják azokat, vagy ha egy háttérfolyamat, például a frissítés, érinti azokat. A Power Platform a feldolgozás alatt lévő adatokat egy vagy több szolgáltatás számítási feladatának memóriájába tölti be. A számítási feladat működésének megkönnyítése érdekében a memóriában tárolt adatok nem titkosítottak.
Adatok továbbítása
A Power Platform megköveteli, hogy a bejövő HTTP-forgalmat TLS 1.2-es vagy újabb protokoll használatával titkosítsa. A TLS 1.1-es vagy annál alacsonyabb protokollokat használó kéréseket a rendszer elutasítja.
További információ: Az adattitkosításról és Power Platform az Adattárolás és -szabályozás itt Power Platform.
Kapcsolódó információk
- Az adattitkosításról
- Adattárolás és -szabályozás Power Platform
- Power Platform Biztonsági GYIK
- Az ügyfél által felügyelt titkosítási kulcs kezelése
Biztonsági ellenőrzőlista
Tekintse meg a javaslatok teljes készletét.