Condividi tramite


Informazioni sulle chiavi di disponibilità per Customer Key

La chiave di disponibilità è una chiave radice che viene generata e sottoposta automaticamente a provisioning quando si creano criteri di crittografia dei dati. Microsoft 365 archivia e protegge questa chiave.

Le funzioni della chiave di disponibilità, ad esempio le due chiavi radice disponibili per Customer Key. Esegue il wrapping delle chiavi di un livello inferiore nella gerarchia delle chiavi. A differenza delle chiavi gestite in Azure Key Vault, non è possibile accedere direttamente alla chiave di disponibilità. I servizi automatizzati di Microsoft 365 lo gestiscono a livello di codice. Questi servizi eseguono operazioni automatizzate senza accesso diretto alla chiave.

Lo scopo principale della chiave di disponibilità è supportare il ripristino dalla perdita imprevista delle chiavi radice gestite. Questa perdita potrebbe essere il risultato di una cattiva gestione o di azioni dannose. Se si perde il controllo delle chiavi radice, contattare supporto tecnico Microsoft per assistenza per il ripristino usando la chiave di disponibilità. Usare questa chiave per eseguire la migrazione a un nuovo criterio di crittografia dei dati con le nuove chiavi radice di cui si esegue il provisioning.

La chiave di disponibilità differisce dalle chiavi di Key Vault di Azure nell'archiviazione e nel controllo per tre motivi:

  • Fornisce un'opzione di ripristino o "break-glass" se vengono perse entrambe le chiavi di Azure Key Vault.
  • La separazione tra controllo logico e posizione di archiviazione aggiunge una difesa approfondita e consente di proteggere dalla perdita totale di chiavi o dati a causa di un singolo punto di errore.
  • Supporta la disponibilità elevata se Microsoft 365 non riesce a raggiungere il Key Vault di Azure a causa di errori temporanei. Questo scenario si applica solo alla crittografia del servizio Exchange. SharePoint e OneDrive non usano la chiave di disponibilità a meno che non si richieda esplicitamente il ripristino.

Microsoft condivide la responsabilità di proteggere i dati tramite protezioni e processi di gestione delle chiavi a più livelli. Questo approccio riduce il rischio di perdita o distruzione permanente di tutte le chiavi e dei dati. Si dispone dell'unica autorità per disabilitare o eliminare la chiave di disponibilità se si lascia il servizio. Per impostazione predefinita, nessuno in Microsoft può accedere alla chiave di disponibilità. È accessibile solo dal codice del servizio Microsoft 365.

Per altre informazioni sul modo in cui Microsoft protegge le chiavi, vedere il Centro protezione Microsoft.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Usi della chiave di disponibilità

La chiave di disponibilità supporta il ripristino nei casi in cui un utente malintenzionato esterno o un insider malintenzionato acquisisce il controllo dell'insieme di credenziali delle chiavi o quando la cattiva gestione causa la perdita delle chiavi radice. Questa funzionalità di ripristino si applica a tutti i servizi di Microsoft 365 che supportano la chiave del cliente.

Ogni servizio usa la chiave di disponibilità in modo diverso. Microsoft 365 usa la chiave di disponibilità solo negli scenari descritti nelle sezioni seguenti.

Exchange

Oltre a supportare il ripristino, Exchange usa la chiave di disponibilità per mantenere l'accesso ai dati durante problemi temporanei o intermittenti che impediscono al servizio di raggiungere le chiavi radice in Azure Key Vault. Se il servizio non può accedere a una delle chiavi del cliente a causa di un errore temporaneo, usa automaticamente la chiave di disponibilità.

Il servizio non accede direttamente alla chiave di disponibilità. I sistemi automatizzati in Exchange lo usano invece come parte di un processo di fallback durante gli errori temporanei. Questo utilizzo supporta operazioni back-end, ad esempio analisi antivirus, ediscovery, Prevenzione della perdita dei dati Microsoft Purview, spostamenti delle cassette postali e indicizzazione dei dati.

SharePoint e OneDrive

Per SharePoint e OneDrive, la chiave di disponibilità viene usata solo per gli scenari di ripristino. Non viene mai usato durante le normali operazioni.

È necessario richiedere in modo esplicito a Microsoft di usare la chiave di disponibilità in un evento di ripristino. Le operazioni di servizio automatizzate si basano esclusivamente sulle chiavi cliente in Azure Key Vault.

Per altre informazioni sulla gerarchia delle chiavi e sul modo in cui questi servizi gestiscono la crittografia, vedere Come SharePoint e OneDrive usano la chiave di disponibilità.

Sicurezza della chiave di disponibilità

Microsoft condivide la responsabilità di proteggere i dati generando la chiave di disponibilità e applicando controlli rigorosi per proteggerli.

I clienti non hanno accesso diretto alla chiave di disponibilità. Ad esempio, è possibile eseguire il rollback solo delle chiavi gestite in Azure Key Vault. Microsoft gestisce la chiave di disponibilità tramite il codice del servizio automatizzato senza esporla agli utenti.

Per altri dettagli, vedere Roll or rotate a Customer Key (Roll or rotate a Customer Key) o a availability key (Roll or rotate a Customer Key o a availability key).

Archivi segreti chiave di disponibilità

Microsoft protegge le chiavi di disponibilità negli archivi segreti interni controllati dall'accesso, in modo analogo ad Azure Key Vault. I controlli di accesso impediscono agli amministratori Microsoft di recuperare direttamente i segreti archiviati all'interno. Tutte le operazioni di archiviazione dei segreti, inclusa la rotazione e l'eliminazione delle chiavi, vengono eseguite tramite comandi automatizzati che non implicano l'accesso diretto alla chiave di disponibilità.

Le operazioni di gestione in questi archivi segreti sono limitate a tecnici specifici e richiedono l'escalation dei privilegi tramite uno strumento interno denominato Lockbox. L'escalation deve essere approvata da un manager e includere una giustificazione valida. Lockbox garantisce che l'accesso sia associato al tempo e revocato automaticamente quando il limite di tempo scade o il tecnico si disconnette.

Le chiavi di disponibilità di Exchange vengono archiviate in un archivio segreto di Exchange Active Directory. Le chiavi vengono mantenute all'interno di contenitori specifici del tenant all'interno del controller Dominio di Active Directory. Questo percorso di archiviazione è separato e isolato dall'archivio segreto usato da SharePoint e OneDrive.

Le chiavi di disponibilità di SharePoint e OneDrive vengono archiviate in un archivio segreto interno gestito dal team del servizio. Questo archivio include server front-end che espongono gli endpoint dell'applicazione e un database SQL come back-end. Le chiavi di disponibilità vengono archiviate nel database e di cui viene eseguito il wrapping usando le chiavi di crittografia dell'archivio segreto.

Queste chiavi di crittografia usano AES-256 e HMAC per proteggere la chiave di disponibilità inattivi. Le chiavi di crittografia vengono archiviate in una parte logicamente isolata dello stesso database e vengono ulteriormente crittografate usando i certificati RSA-2048 emessi dall'autorità di certificazione (CA) Microsoft. Questi certificati vengono archiviati nei server front-end che gestiscono le operazioni sul database.

Difesa approfondita

Microsoft usa una strategia di difesa approfondita per impedire agli attori malintenzionati di compromettere la riservatezza, l'integrità o la disponibilità dei dati dei clienti archiviati nel cloud Microsoft. Nell'ambito di questo approccio di sicurezza a più livelli sono disponibili controlli specifici di prevenzione e detective per proteggere l'archivio segreto e la chiave di disponibilità.

Microsoft 365 è progettato per impedire l'uso improprio della chiave di disponibilità. Il livello applicazione è l'unica interfaccia che può usare le chiavi, inclusa la chiave di disponibilità, per la crittografia e la decrittografia. Solo il codice del servizio Microsoft 365 può interpretare e attraversare la gerarchia delle chiavi. L'isolamento logico esiste tra i percorsi di archiviazione delle chiavi cliente, delle chiavi di disponibilità, di altre chiavi gerarchiche e dei dati dei clienti. Questa separazione riduce il rischio di esposizione dei dati in caso di compromissione di una posizione. Ogni livello nella gerarchia delle chiavi include il rilevamento continuo delle intrusioni per proteggere i dati e i segreti archiviati.

I controlli di accesso impediscono l'accesso non autorizzato ai sistemi interni, inclusi gli archivi segreti delle chiavi di disponibilità. I tecnici Microsoft non hanno accesso diretto a questi negozi. Per altre informazioni, vedere Controlli di accesso amministrativi in Microsoft 365.

I controlli tecnici impediscono inoltre al personale Microsoft di accedere a account di servizio con privilegi elevati, che gli utenti malintenzionati potrebbero altrimenti usare per rappresentare i servizi Microsoft. Questi controlli bloccano i tentativi di accesso interattivi.

La registrazione e il monitoraggio della sicurezza sono altre misure di sicurezza nell'approccio di difesa in profondità di Microsoft. I team di servizio distribuiscono soluzioni di monitoraggio che generano avvisi e log di controllo. Tutti i log vengono caricati in un repository centrale, dove vengono aggregati e analizzati. Gli strumenti interni valutano automaticamente questi record per garantire che i servizi rimangano sicuri, resilienti e funzionano come previsto. L'attività insolita è contrassegnata per la revisione.

Qualsiasi evento che segnala una potenziale violazione dei criteri di sicurezza Microsoft viene inoltrato ai team di sicurezza Microsoft. Gli avvisi di sicurezza di Microsoft 365 sono configurati per rilevare i tentativi di accesso agli archivi segreti delle chiavi di disponibilità e i tentativi di accesso non autorizzati agli account del servizio. Il sistema rileva anche le deviazioni dal comportamento previsto del servizio di base. Qualsiasi tentativo di usare in modo improprio i servizi di Microsoft 365 attiva avvisi e può comportare la rimozione del trasgressore dall'ambiente Microsoft Cloud.

Usare la chiave di disponibilità per recuperare da una perdita di chiave

Se si perde il controllo delle chiavi cliente, è possibile usare la chiave di disponibilità per recuperare e crittografare nuovamente i dati.

Procedura di ripristino per Exchange

Se si perde il controllo delle chiavi cliente, è possibile usare la chiave di disponibilità per recuperare i dati e riportare online le risorse di Microsoft 365 interessate. La chiave di disponibilità continua a proteggere i dati durante il ripristino.

Per eseguire il ripristino completo dalla perdita di chiave:

  1. Creare nuove chiavi cliente in Azure Key Vault.
  2. Creare un nuovo criterio di crittografia dei dati (DEP) usando le nuove chiavi.
  3. Assegnare il nuovo DEP alle cassette postali crittografate con le chiavi compromesse o perse.

Questo processo di crittografia potrebbe richiedere fino a 72 ore, ovvero la durata standard per la modifica di un DEP.

Procedura di ripristino per SharePoint e OneDrive

Per SharePoint e OneDrive, la chiave di disponibilità viene usata solo durante uno scenario di ripristino. È necessario chiedere esplicitamente a Microsoft di attivare la chiave di disponibilità.

Per avviare il processo di ripristino, contattare supporto tecnico Microsoft. Dopo l'attivazione, la chiave di disponibilità decrittografa automaticamente i dati in modo che sia possibile crittografarli con un criterio di crittografia dei dati (DEP) appena creato e nuove chiavi cliente.

Il tempo di ripristino dipende dal numero di siti nell'organizzazione. La maggior parte dei clienti torna online entro circa quattro ore dalla richiesta di attivazione della chiave di disponibilità.

Utilizzo della chiave di disponibilità da parte di Exchange

Quando si crea un criterio di crittografia dei dati (DEP) con la chiave del cliente, Microsoft 365 genera una chiave DEP associata a tale criterio. Il servizio crittografa la chiave DEP tre volte: una volta con ognuna delle chiavi del cliente e una volta con la chiave di disponibilità. Vengono archiviate solo le versioni crittografate della chiave DEP. Una chiave DEP può essere decrittografata solo con una delle chiavi del cliente o la chiave di disponibilità.

La chiave DEP viene usata per crittografare le chiavi delle cassette postali, che a loro volta crittografa le singole cassette postali.

Microsoft 365 usa il processo seguente per decrittografare e fornire l'accesso ai dati delle cassette postali:

  1. Decrittografare la chiave DEP usando una chiave del cliente.
  2. Usare la chiave DEP decrittografata per decrittografare la chiave della cassetta postale.
  3. Usare la chiave della cassetta postale decrittografata per decrittografare la cassetta postale e fornire l'accesso ai dati.

Come SharePoint e OneDrive usano la chiave di disponibilità

L'architettura di SharePoint e OneDrive per customer key e la chiave di disponibilità sono diverse da Exchange.

Quando un'organizzazione inizia a usare chiavi gestite dal cliente, Microsoft 365 crea una chiave intermedia del tenant specifica dell'organizzazione.When an organization begins using customer-managed keys, Microsoft 365 creates an organization-specific tenant intermediate key (TIK). Microsoft 365 crittografa il TIK due volte, una volta con ognuna delle chiavi del cliente, e archivia solo le versioni crittografate. Un TIK può essere decrittografato solo usando una delle chiavi del cliente. Il TIK viene quindi usato per crittografare le chiavi del sito, che crittografa le chiavi BLOB (dette anche chiavi in blocchi di file). Per i file di dimensioni maggiori, il servizio potrebbe dividerli in più blocchi, ognuno con una chiave univoca. Questi blocchi di file, o BLOB, vengono crittografati con chiavi BLOB e archiviati in Archiviazione BLOB di Azure.

Microsoft 365 usa la procedura seguente per decrittografare i file dei clienti:

  1. Decrittografare il TIK usando una chiave del cliente.
  2. Usare il TIK decrittografato per decrittografare una chiave del sito.
  3. Usare la chiave del sito decrittografata per decrittografare una chiave BLOB.
  4. Usare la chiave BLOB decrittografata per decrittografare il BLOB.

Per migliorare le prestazioni, Microsoft 365 invia due richieste di decrittografia ad Azure Key Vault leggermente offset nel tempo. Qualsiasi richiesta completata per prima fornisce il risultato; l'altro viene annullato.

Se si perde l'accesso alle chiavi del cliente, Microsoft 365 usa la chiave di disponibilità per decrittografare il TIK. Microsoft crittografa ogni TIK con la chiave di disponibilità e archivia questa versione insieme alle versioni crittografate con chiave del cliente. La chiave di disponibilità viene usata solo se si contatta Microsoft per avviare un ripristino.

Per la scalabilità e l'affidabilità, i TIK decrittografati vengono memorizzati nella cache per un periodo di tempo limitato. Circa due ore prima della scadenza di un TIK memorizzato nella cache, Microsoft 365 tenta di decrittografarlo di nuovo per estenderne la durata. Se questo processo ha esito negativo ripetutamente, Microsoft 365 genera un avviso per la progettazione prima della scadenza della cache. Se è necessario il ripristino, Microsoft decrittografa il TIK usando la chiave di disponibilità, quindi esegue di nuovo l'onboarding del tenant usando il TIK decrittografato e un nuovo set di chiavi del cliente.

Attualmente, customer key crittografa e decrittografa i dati dei file di SharePoint in Archiviazione BLOB di Azure, ma non elenca elementi o metadati archiviati in database SQL. Microsoft non usa la chiave di disponibilità per SharePoint o OneDrive a meno che non si richieda esplicitamente il ripristino. L'accesso umano ai dati dei clienti rimane protetto da Customer Lockbox.

Trigger della chiave di disponibilità

Microsoft 365 attiva la chiave di disponibilità solo in circostanze specifiche e tali circostanze variano a seconda del servizio.

Trigger per Exchange

Microsoft 365 segue questo processo quando si accede alle chiavi del cliente per una cassetta postale:

  1. Legge i criteri di crittografia dei dati assegnati alla cassetta postale per identificare le due chiavi cliente archiviate in Azure Key Vault.

  2. Seleziona in modo casuale una delle due chiavi e invia una richiesta ad Azure Key Vault per annullare il wrapping della chiave DEP.

  3. Se la richiesta ha esito negativo, invia una seconda richiesta usando la chiave alternativa.

  4. Se entrambe le richieste hanno esito negativo, Microsoft 365 esamina i risultati e risponde in uno dei due modi seguenti:

    • Se entrambe le richieste non sono riuscite con un errore di sistema( ad esempio, Azure Key Vault non è disponibile o non può rispondere):

      • Microsoft 365 usa la chiave di disponibilità per decrittografare la chiave DEP.

      • Usa quindi la chiave DEP per decrittografare la chiave della cassetta postale e soddisfare la richiesta dell'utente.

    • Se entrambe le richieste non sono riuscite con un errore "accesso negato", ad esempio da una rimozione intenzionale, accidentale o dannosa della chiave, anche durante il processo di eliminazione dei dati:

      • Microsoft 365 non attiva la chiave di disponibilità per le azioni dell'utente.

      • La richiesta utente ha esito negativo e restituisce un messaggio di errore.

Importante

Il codice del servizio Microsoft 365 mantiene sempre un token di accesso valido per elaborare e ragionare sui dati dei clienti per supportare i servizi cloud di base. Per questo motivo, finché la chiave di disponibilità non viene eliminata, le operazioni interne di Exchange ,ad esempio lo spostamento della cassetta postale o la creazione dell'indice, possono comunque usare la chiave di disponibilità come fallback quando entrambe le chiavi del cliente non sono raggiungibili, indipendentemente dal fatto che l'errore sia dovuto a un errore di sistema o a una risposta di accesso negato.

Trigger per SharePoint e OneDrive

Per SharePoint e OneDrive, Microsoft 365 non usa mai la chiave di disponibilità a meno che non si sia in uno scenario di ripristino. Per avviare il processo di ripristino, è necessario contattare Microsoft e richiedere esplicitamente l'uso della chiave di disponibilità.

Log di controllo e chiave di disponibilità

I sistemi automatizzati in Microsoft 365 elaborano i dati durante il flusso attraverso il servizio. Questi sistemi supportano funzionalità come antivirus, eDiscovery, prevenzione della perdita di dati e indicizzazione. Microsoft 365 non genera log visibili ai clienti per questa attività in background. Inoltre, il personale Microsoft non accede ai dati durante le normali operazioni di sistema.

Registrazione delle chiavi di disponibilità di Exchange

Quando Exchange accede alla chiave di disponibilità per fornire il servizio, Microsoft 365 crea log visibili al cliente. È possibile accedere a questi log dal portale di Microsoft Purview. Ogni volta che il servizio usa la chiave di disponibilità, genera una voce del log di controllo.

Questa voce usa un nuovo tipo di record denominato Customer Key Service Encryption con un tipo di attività Fallback alla chiave di disponibilità. Queste etichette consentono agli amministratori di filtrare i risultati della ricerca del log di controllo unificato per trovare i record delle chiavi di disponibilità.

Le voci di log includono la data, l'ora, l'attività, l'ID organizzazione e l'ID dei criteri di crittografia dei dati. Questi record fanno parte dei log di controllo unificati e vengono visualizzati nella scheda Ricerca log di controllo nel portale di Microsoft Purview.

Ricerca log di controllo per gli eventi chiave di disponibilità

I record delle chiavi di disponibilità di Exchange seguono lo schema comune dell'attività di gestione di Microsoft 365. Includono anche parametri personalizzati: ID criterio, ID versione chiave ambito e ID richiesta.

Parametri personalizzati della chiave di disponibilità

Registrazione delle chiavi di disponibilità di SharePoint e OneDrive

La registrazione delle chiavi di disponibilità non è ancora disponibile per SharePoint o OneDrive. Microsoft attiva la chiave di disponibilità solo a scopo di ripristino quando viene richiesta. Per questo motivo, si conosce già ogni evento quando viene usata la chiave di disponibilità per questi servizi.

Chiave di disponibilità nella gerarchia chiave del cliente

Microsoft 365 usa la chiave di disponibilità per eseguire il wrapping del livello di chiavi sottostanti nella gerarchia di crittografia della chiave del cliente. Ogni servizio ha una gerarchia di chiavi diversa. Gli algoritmi di chiave variano anche tra le chiavi di disponibilità e altre chiavi nella gerarchia.

Gli algoritmi della chiave di disponibilità usati da ogni servizio sono:

  • Le chiavi di disponibilità di Exchange usano AES-256.
  • Le chiavi di disponibilità di SharePoint e OneDrive usano RSA-2048.

Crittografie usate per crittografare le chiavi per Exchange

Crittografia delle crittografie per Exchange nella chiave del cliente

Crittografie usate per crittografare le chiavi per SharePoint

Crittografia delle crittografie per SharePoint nella chiave del cliente