Apie duomenų šifravimą
Duomenys yra vertingiausias ir nepakeičiamas organizacijos turtas, o šifravimas yra paskutinė ir stipriausia gynybos linija daugiasluoksnėje duomenų saugumo strategijoje. „Microsoft“ verslo debesijos paslaugos ir produktai naudoja šifravimą, kad klientų duomenys būtų apsaugoti ir galėtumėte juos kontroliuoti.
Duomenų apsauga poilsio režimu
Užšifravus informaciją, ji tampa neperskaitoma neįgaliotiems asmenims, net jei jie prasiskverbia pro užkardas, įsiskverbia į tinklą, gauna fizinę prieigą prie įrenginių arba apeina vietinio kompiuterio teises. Šifravimas pakeičia duomenis taip, kad tik šifravimo raktą turintis asmuo galėtų juos pasiekti.
Dynamics 365 duomenims saugoti naudoja nevienalytę saugyklą (Dataverse). Duomenys paskirstomi į tolesnes skirtingų tipų saugyklas.
- „Azure“ SQL duomenų bazė, skirta sąryšiniams duomenims
- „Azure“ didelių dvejetainių objektų saugykla, skirta dvejetainiams duomenims, pavyzdžiui, vaizdams ir dokumentams
- „Azure“ ieška, skirta indeksuoti iešką
- „Microsoft 365“ veiklos žurnalas ir „Azure Cosmos DB“, skirti audito duomenims
- Azure Data Lake analizei
„Dataverse“ duomenų bazėse naudojamas SQL TDE (skaidrusis duomenų šifravimas, suderinamas su FIPS 140-2), kad realiuoju laiku būtų užtikrintas duomenų ir žurnalo failų įvesties / išvesties šifravimas poilsio režimu. Azure saugyklos šifravimas naudojamas neaktyviems duomenims, saugomiems Azure didelių dvejetainių objektų saugykloje. Jie užšifruojami ir skaidriai iššifruojami naudojant 256 bitų AES šifravimą, suderinamą su FIPS 140-2.
Pagal numatytuosius nustatymus Microsoft saugo ir tvarko jūsų aplinkų duomenų bazės šifravimo raktą naudodamas "Microsoft" valdomą raktą. Power Platform Tačiau pateikia kliento valdomą šifravimo raktą (CMK), skirtą papildomam duomenų apsaugos valdymui, kur galite savarankiškai valdyti duomenų bazės šifravimo raktą. Šifravimo raktas yra jūsų pačių Azure rakto saugykloje, kuri leidžia pasukti arba pakeisti šifravimo raktą pagal poreikį. Tai taip pat leidžia jums užkirsti kelią Microsoft prieigai prie jūsų klientų duomenų, kai bet kuriuo metu atšaukiate pagrindinę prieigą prie mūsų paslaugų.
Administratoriai gali pateikti savo šifravimo raktą naudodami savo raktų generatoriaus aparatūrą (HSM) arba naudoti Azure Key Vault šifravimo raktui generuoti. Raktų valdymo funkcija supaprastina šifravimo raktų valdymą naudodama „Azure Key Vault“, kur saugomi šifravimo raktai. „Azure Key Vault“ padeda apsaugoti kriptografinius raktus ir paslaptis, kurias naudoja debesies programos ir paslaugos. Šifravimo raktai turi atitikti tolesnius „Azure Key Vault“ reikalavimus.
- 2048 bitų RSA
- HSM BYOK
Administratoriai taip pat gali bet kada atkurti šifravimo raktą į „Microsoft“ valdomą raktą.
Perduodamų duomenų apsauga
„Azure“ apsaugo duomenis, perduodamus į išorinius komponentus arba iš jų, taip pat viduje perduodamus duomenis, pvz., tarp dviejų virtualių tinklų. „Azure“ naudoja standartinius perdavimo protokolus, pvz., TLS tarp vartotojo įrenginių ir „Microsoft“ duomenų centrų bei pačiuose duomenų centruose. Siekiant dar labiau apsaugoti jūsų duomenis, vidinis ryšys tarp „Microsoft“ tarnybų naudoja „Microsoft“ pagrindinį tinklą, todėl viešasis internetas nėra pasiekiamas.
„Microsoft“ savo produktuose ir paslaugose naudoja kelis šifravimo metodus, protokolus ir algoritmus, kad padėtų užtikrinti saugų kelią duomenims keliauti per infrastruktūrą ir apsaugoti infrastruktūroje saugomų duomenų konfidencialumą. „Microsoft“ naudoja vienus iš stipriausių ir saugiausių šifravimo protokolų, kad apsaugotų nuo neteisėtos prieigos prie jūsų duomenų. Tinkamas raktų valdymas yra esminis geriausios šifravimo praktikos elementas, o „Microsoft“ padeda užtikrinti, kad šifravimo raktai būtų tinkamai apsaugoti.
Toliau nurodyti protokolų ir technologijų pavyzdžiai.
- Transportavimo lygmens sauga / saugiųjų jungčių lygmuo (TLS / SSL), kuris naudoja simetrišką kriptografiją, pagrįstą bendra paslaptimi, kad užšifruotų ryšius, kai jie keliauja per tinklą.
- Interneto protokolo sauga („IPsec“), standartinis protokolų rinkinys, naudojamas siekiant užtikrinti duomenų autentifikavimą, vientisumą ir konfidencialumą IP paketo lygiu, kai jie perduodami tinkle.
- Išplėstinis šifravimo standartas (AES)-256, nacionalinio standartų ir technologijų instituto (NIST) specifikacija, skirta simetrinio rakto duomenų šifravimui, kurią patvirtino JAV vyriausybė, kad pakeistų duomenų šifravimo standartą (DES) ir RSA 2048 viešojo rakto šifravimo technologiją.