Kopīgot, izmantojot


Ieteikumi datu šifrēšanai

Attiecas uz Power Platform labi arhitektūras drošības kontrolsaraksta ieteikumu:

SE:06 Šifrējiet datus, izmantojot mūsdienīgas nozares standarta metodes, lai aizsargātu konfidencialitāti un integritāti. Saskaņot šifrēšanas tvērumu ar datu klasifikācijām; Piešķiriet prioritāti vietējām platformas šifrēšanas metodēm.

Ja jūsu dati nav aizsargāti, tos var ļaunprātīgi modificēt, kā rezultātā tiek zaudēta integritāte un konfidencialitāte.

Šajā rokasgrāmatā ir aprakstīti ieteikumi datu šifrēšanai un aizsardzībai. Šifrēšana ir kriptogrāfijas algoritmu izmantošanas process, lai padarītu datus nesalasāmus un bloķētu datus ar atslēgu. Šifrētā stāvoklī datus nevar atšifrēt. To var atšifrēt tikai, izmantojot atslēgu, kas ir savienota pārī ar šifrēšanas atslēgu.

Definīcijas

Termini Definīcija
Sertifikātus Ciparu faili, kuros ir publiskās atslēgas šifrēšanai vai atšifrēšanai.
Atšifrēšanas Process, kurā šifrēti dati tiek atbloķēti ar slepenu kodu.
Šifrēšana Process, kurā dati tiek padarīti nesalasāmi un bloķēti ar slepenu kodu.
Atslēgas Slepenais kods, ko izmanto, lai bloķētu vai atbloķētu šifrētus datus.

Galvenās dizaina stratēģijas

Organizācijas pilnvaras vai regulatīvās prasības var ieviest šifrēšanas mehānismus. Piemēram, var būt prasība, ka dati paliek tikai atlasītajā reģionā un datu kopijas tiek saglabātas šajā reģionā.

Šīs prasības bieži vien ir bāzes minimums. Cenšieties sasniegt augstāku aizsardzības līmeni. Jūs esat atbildīgs par konfidencialitātes noplūdes un sensitīvu datu manipulācijas novēršanu, neatkarīgi no tā, vai tie ir ārējie lietotāju dati vai darbinieku dati.

Dati ir organizācijas vērtīgākais un neaizvietojamākais aktīvs, un šifrēšana kalpo kā pēdējā un spēcīgākā aizsardzības līnija daudzslāņu datu drošības stratēģijā. Microsoft biznesa mākoņpakalpojumi un produkti izmanto šifrēšanu, lai aizsargātu klientu datus un palīdzētu tos pārvaldīt.

Šifrēšanas scenāriji

Šifrēšanas mehānismiem, visticamāk, dati ir jāaizsargā trīs posmos:

  • Miera stāvokļa dati ir visa informācija, kas tiek glabāta krātuves objektos. Pēc noklusējuma Microsoft glabā un pārvalda datu bāzes šifrēšanas atslēgu jūsu vidē, izmantojot Microsoft pārvaldītu atslēgu. Tomēr Power Platform nodrošina klienta pārvaldītu šifrēšanas atslēgu (CMK) papildu datu aizsardzības kontrolei, kur varat pašpārvaldīt datu bāzes šifrēšanas atslēgu.

  • Apstrādē esošie dati ir dati, kas tiek izmantoti kā daļa no interaktīva scenārija vai kad fona process, piemēram, atsvaidzināšana, pieskaras tam. Power Platform ielādē datus, apstrādājot tos atmiņas vietā ar vienu vai vairākām servisa darba slodzēm. Lai atvieglotu darba slodzes funkcionalitāti, atmiņá saglabātie dati nav šifrēti.

  • Pārsūtītie dati ir informācija, kas tiek pārsūtīta starp komponentiem, atrašanās vietām vai programmām. Azure izmanto nozares standarta transporta protokolus, piemēram, transporta slāņa drošību (TLS), starp lietotāju ierīcēm un Microsoft datu centriem, kā arī pašiem datu centriem.

Vietējie šifrēšanas mehānismi

Pēc noklusējuma Microsoft glabā un pārvalda datu bāzes šifrēšanas atslēgu jūsu vidē, izmantojot Microsoft pārvaldītu atslēgu. Tomēr Power Platform nodrošina klienta pārvaldītu šifrēšanas atslēgu (CMK) papildu datu aizsardzības kontrolei, kur varat pašpārvaldīt datu bāzes šifrēšanas atslēgu. Šifrēšanas atslēga atrodas jūsu Azure atslēgu seifā, kas ļauj pēc pieprasījuma pagriezt vai apmainīt šifrēšanas atslēgu. Tas arī ļauj neļaut korporācijai Microsoft piekļūt jūsu klientu datiem, kad jebkurā laikā atsaucat atslēgas piekļuvi mūsu pakalpojumiem.

Datu šifrēšana miera stāvoklī.

Šifrēšanas atslēgas

Pēc noklusējuma pakalpojumi izmanto Microsoft pārvaldītās šifrēšanas atslēgas, Power Platform lai šifrētu un atšifrētu datus. Azure ir atbildīgs par atslēgu pārvaldību.

Varat izvēlēties klientu pārvaldītas atslēgas. Power Platform joprojām izmanto jūsu atslēgas, bet jūs esat atbildīgs par galveno operācijām.

Power Platform Atvieglošana

Nākamajās sadaļās ir aprakstīti Power Platform līdzekļi un iespējas, ko varat izmantot datu šifrēšanai.

Klienta pārvaldīta atslēga

Visi klientu Power Platform dati, kas tiek glabāti, pēc noklusējuma tiek šifrēti, izmantojot spēcīgu Microsoft pārvaldītu šifrēšanas atslēgu. Organizācijas, kurām ir datu konfidencialitātes un atbilstības prasības, lai aizsargātu savus datus un pārvaldītu savas atslēgas, var izmantot klienta pārvaldīto atslēgu iespēju. Klienta pārvaldītā atslēga nodrošina papildu datu aizsardzību, kur jūs pašpārvaldāt datu šifrēšanas atslēgu, kas saistīta ar jūsu Dataverse vidi. Izmantojot šo iespēju, pēc pieprasījuma varat pagriezt vai apmainīt šifrēšanas atslēgas. Turklāt tas neļauj korporācijai Microsoft piekļūt jūsu datiem, atsaucot atslēgu no pakalpojuma. Papildinformāciju skatiet sadaļā Klientu pārvaldītās šifrēšanas atslēgas pārvaldība.

Datu rezidences vieta

Nomnieks Azure Active Directory (Azure AD) sniedz informāciju, kas attiecas uz organizāciju un tās drošību. Kad nomnieks Azure AD reǵistréjas Power Platform pakalpojumiem, nomnieka izvélétā valsts vai reģions tiek attéloti kartē uz vispiemērotākás Azure ģeogrāfiskās atrašanās vietas, kur Power Platform pastāv izvietošana. Power Platform glabā klienta datus nomnieka piešķirtajā Azure ģeogrāfiskā atrašanās vietā vai mājas ģeogrāfiskā atrašanās vietā, izņemot gadījumus, kad organizācijas izvērš servisu vairākos reģionos.

Power Platform pakalpojumi ir pieejami konkrētás Azure ģeogrāfiskajás lokácijás. Papildinformāciju par to, kur Power Platform ir pieejami pakalpojumi, kur tiek glabāti dati un kā tie tiek izmantoti, skatiet Microsoft drošības kontroles centrā. Saistības attiecībā uz klienta datu atrašanās vietu apskatei ir norādītas Datu apstrādes noteikumos Microsoft Tiešasistes pakalpojumu nosacījumos. Microsoft nodrošina arī datu centrus suverēnām vienībām.

Piekļuve Copilot Studio ģeneratīvajām AI funkcijām no reģioniem ārpus Amerikas Savienotajām Valstīm izraisa datu pārvietošanu pāri reģionālajām robežām. Šo datu pārvietošanu var iespējot un atspējot Power Platform. Uzziniet vairāk sadaļā Reģioni, kas saistīti ar līdzpilotiem un ģeneratīvām AI funkcijām. Ģeogrāfisko datu rezidence nodrošina Microsoft Copilot Studio stabilu sistēmu, lai nodrošinātu datu drošību un atbilstību vietējiem noteikumiem. Papildus saviem vietējiem drošības līdzekļiem izmanto Azure infrastruktūru, Copilot Studio lai nodrošinātu drošas un atbilstošas datu rezidences iespējas. Uzziniet vairāk par datu rezidenci un Copilot Studio Ģeogrāfisko datu rezidence Copilot Studio un Drošība un ģeogrāfisko datu rezidence Copilot Studio.

Dati dīkstāves režīmā

Ja vien dokumentācijā nav norādīts citādi, klienta dati paliek tā sākotnējā avotā (piemēram, Dataverse vai SharePoint). Visi dati, ko glábá Power Platform pēc noklusējuma ir šifrēti, izmantojot Microsoft pārvaldītās atslēgas.

Dati ir apstrādes procesá

Dati tiek apstrādāti, kad tie tiek izmantoti kā daļa no interaktīva scenārija vai kad tiem pieskaras fona process, piemēram, atjaunināšana. Power Platform ielādē datus, apstrādājot tos atmiņas vietā ar vienu vai vairākām servisa darba slodzēm. Lai atvieglotu darba slodzes funkcionalitāti, atmiņá saglabātie dati nav šifrēti.

Dati tranzītá

Power Platform pieprasa, lai visi ienākošie HTTP trafiki būtu šifrēti, izmantojot TLS 1.2 vai jaunāku versiju. Pieprasījumi, kas mēģina izmantot TLS 1.1 vai zemáku, tiek noraidīti.

Papildinformāciju skatiet sadaļā Par datu šifrēšanu Power Platform un Datu glabāšana un pārvaldība Power Platform.

Drošības kontrolsaraksts

Skatiet pilnu ieteikumu kopumu.