Udostępnij za pośrednictwem

O szyfrowaniu danych

  • Artykuł

Dane są najbardziej wartościowym i niezastąpnym zasobem organizacji, a szyfrowanie pełni rolę ostatniego i najbardziej przydatnego zasobu w strategii zabezpieczeń danych wielowarstwowych. Microsoft Usługi i produkty w chmurze dla firm korzystają z szyfrowania, aby chronić dane klientów i pomagać w utrzymaniu nad nimi kontroli.

Ochrona danych w stanie spoczynku

Szyfrowanie Twoich informacji sprawia, że są one nieczytelne dla nieupoważnionych osób, nawet jeśli Twoje firewalle zostaną przełamane, intruzi przenikną do Twojej sieci, uzyskają fizyczny dostęp do Twoich urządzeń lub ominą uprawnienia na Twoim lokalnym komputerze. Szyfrowanie przekształci dane, aby tylko osoba z kluczem odszyfrowania miała dostęp do danych.

Dynamics 365 używa magazynu heterogenicznego (Dataverse) do przechowywania danych. Dane są dystrybuowane w różnych typach magazynów:

  • Baza danych SQL Azure dla danych relacyjnych
  • Magazyn Blob Azure dla danych binarnych, takich jak obrazy i dokumenty
  • Wyszukiwanie na platformie Azure w celu indeksowania w wyszukiwarkach
  • Dziennik działań Microsoft 365 i platforma Azure Cosmos DB w przypadku danych inspekcji
  • Azure Data Lake na potrzeby analizy

Bazy danych Dataverse programu SQL TDE (Transparent Data Encryption, zgodne z programem FIPS 140-2) są wykorzystywane do szyfrowania i odszyfrowywania danych oraz odszyfrowywania plików dziennika w czasie rzeczywistym. Szyfrowanie usługi Azure Storage jest używane w przypadku danych magazynowanych przechowywanych w Azure Blob Storage. Są one szyfrowane i odszyfrowywane w sposób przejrzysty przy użyciu 256-bitowego szyfrowania AES zgodnego ze standardem FIPS 140-2.

Domyślnie Microsoft przechowuje klucz szyfrowania bazy danych dla środowisk i zarządza nim przy użyciu klucza Microsoft zarządzanego. Power Platform udostępnia jednak zarządzany przez klienta klucz szyfrowania (CMK) dla dodanej kontroli ochrony danych, gdzie można samodzielnie zarządzać kluczem szyfrowania bazy danych. Klucz szyfrowania znajduje się we własnym magazynie Azure Key Vault, co pozwala na rotację lub zastępowanie klucza szyfrowania na żądanie. Pozwala również na zablokowanie Microsoft dostępu do danych klientów w przypadku cofnięcia kluczowego dostępu do naszych usług w dowolnym momencie.

Szyfrowanie danych w stanie spoczynku

Administratorzy mogą podać własny klucz szyfrowania przy użyciu własnego sprzętu do generowania kluczy (HSM) lub użyć magazynu Azure Key Vault w celu wygenerowania klucza szyfrowania. Funkcja zarządzania kluczami eliminuje złożoność zarządzania kluczami szyfrowania poprzez użycie Azure Key Vault do bezpiecznego przechowywania kluczy szyfrowania. Azure Key Vault pomaga chronić klucze kryptograficzne i informacje tajne używane przez aplikacje i usługi w chmurze. Klucze szyfrujące muszą spełniać następujące wymagania Azure Key Vault:

Administratorzy mogą również w dowolnym momencie przywrócić klucz szyfrowania z powrotem do klucza Microsoft zarządzanego.

Ochrona danych w czasie tranzytu

Azure chroni dane w tranzycie do lub ze składników zewnętrznych, jak również dane w tranzycie wewnętrznym, np. pomiędzy dwoma sieciami wirtualnymi. Platforma Azure korzysta ze standardowych protokołów transportowych, takich jak TLS, między urządzeniami użytkowników a Microsoft centrami danych oraz w samych centrach danych. Aby jeszcze bardziej chronić dane, wewnętrzna komunikacja między Microsoft usługami odbywa się za pomocą Microsoft sieci szkieletowej i dlatego nie jest narażona na publiczny Internet.

Microsoft Korzysta z wielu metod, protokołów i algorytmów szyfrowania w swoich produktach i usługach, aby zapewnić bezpieczną ścieżkę przesyłania danych przez infrastrukturę i pomóc chronić poufność danych przechowywanych w infrastrukturze. Microsoft Wykorzystuje jedne z najsilniejszych i najbezpieczniejszych protokołów szyfrowania w branży, aby zapewnić barierę przed nieautoryzowanym dostępem do danych. Właściwe zarządzanie kluczami jest kluczowym elementem najlepszych praktyk w zakresie szyfrowania i Microsoft pomaga zapewnić, że klucze szyfrowania są odpowiednio zabezpieczone.

Szyfrowanie danych w tranzycie

Przykłady protokołów i technologii to:

  • Transport Layer Security/Secure Sockets Layer (TLS/SSL), który wykorzystuje kryptografię symetryczną opartą na współdzielonym sekrecie do szyfrowania komunikacji w trakcie przemieszczania się przez sieć.
  • Internet Protocol Security (IPsec) - standardowy zestaw protokołów używanych do zapewnienia uwierzytelniania, integralności i poufności danych na poziomie pakietów IP, gdy są one przesyłane przez sieć.
  • Advanced Encryption Standard (AES)-256, specyfikacja National Institute of Standards and Technology (NIST) dla szyfrowania danych z kluczem symetrycznym, która została przyjęta przez rząd USA, by zastąpić Data Encryption Standard (DES) i technologię szyfrowania z kluczem publicznym RSA 2048.