Visão geral de gerenciamento de criptografia e chaves
Qual função a criptografia desempenha na proteção do conteúdo do cliente?
A maioria dos serviços de nuvem de negócios da Microsoft é multilocatário, o que significa que o conteúdo do cliente pode ser armazenado no mesmo hardware físico que outros clientes. Para proteger a confidencialidade do conteúdo do cliente, a Microsoft serviços online criptografar todos os dados em repouso e em trânsito com alguns dos protocolos de criptografia mais fortes e seguros disponíveis.
A criptografia não é um substituto para controles de acesso fortes. A política de controle de acesso da Microsoft do ZSA (Acesso Permanente Zero) protege o conteúdo do cliente contra acesso não autorizado por funcionários da Microsoft. A criptografia complementa o controle de acesso protegendo a confidencialidade do conteúdo do cliente onde quer que ele esteja armazenado e impedindo que o conteúdo seja lido durante o trânsito entre os sistemas do Microsoft serviços online ou entre a Microsoft serviços online e o cliente.
Como a Microsoft serviços online criptografar dados em repouso?
Todo o conteúdo do cliente no Microsoft serviços online é protegido por uma ou mais formas de criptografia. Os servidores da Microsoft usam o BitLocker para criptografar as unidades de disco que contêm conteúdo do cliente no nível do volume. A criptografia fornecida pelo BitLocker protege o conteúdo do cliente se houver lapsos em outros processos ou controles (por exemplo, controle de acesso ou reciclagem de hardware) que possam levar a acesso físico não autorizado a discos que contêm conteúdo do cliente.
Além da criptografia em nível de volume, a Microsoft serviços online usar a Criptografia de Serviço na camada do aplicativo para criptografar o conteúdo do cliente. A Criptografia de Serviço fornece recursos de proteção e gerenciamento de direitos, além de forte proteção contra criptografia. Ele também permite a separação entre sistemas operacionais Windows e os dados do cliente armazenados ou processados por esses sistemas operacionais.
Como a Microsoft serviços online criptografar dados em trânsito?
A Microsoft serviços online usar protocolos de transporte fortes, como o TLS, para impedir que partes não autorizadas espiem os dados do cliente enquanto ele se move por uma rede. Exemplos de dados em trânsito incluem mensagens de email que estão em processo de entrega, conversas ocorrendo em uma reunião online ou arquivos sendo replicados entre datacenters.
Para a Microsoft serviços online, os dados são considerados "em trânsito" sempre que o dispositivo de um usuário está se comunicando com um servidor Microsoft ou um servidor Microsoft está se comunicando com outro servidor.
Como a Microsoft serviços online gerenciar as chaves usadas para criptografia?
A criptografia forte é tão segura quanto as chaves usadas para criptografar dados. A Microsoft usa seus próprios certificados de segurança para criptografar conexões TLS para dados em trânsito. Para dados em repouso, os volumes protegidos pelo BitLocker são criptografados com uma chave de criptografia de volume completo, que é criptografada com um volume master chave, que por sua vez está vinculado ao TPM (Trusted Platform Module) no servidor. O BitLocker usa algoritmos compatíveis com FIPS para garantir que as chaves de criptografia nunca sejam armazenadas ou enviadas pelo fio na limpeza.
A Criptografia de Serviço fornece outra camada de criptografia para dados do cliente em repouso, dando aos clientes duas opções para gerenciamento de chaves de criptografia: chaves gerenciadas pela Microsoft ou Chave do Cliente. Ao usar chaves gerenciadas pela Microsoft, a Microsoft serviços online gerar e armazenar automaticamente as chaves raiz usadas para Criptografia de Serviço.
Clientes com requisitos para controlar suas próprias chaves de criptografia raiz podem usar a Criptografia de Serviço com a Chave do Cliente do Microsoft Purview. Usando a Chave do Cliente, os clientes podem gerar suas próprias chaves criptográficas usando um HSM (Módulo do Serviço de Hardware) local ou um AKV (Azure Key Vault). As chaves raiz do cliente são armazenadas no AKV, onde podem ser usadas como a raiz de um dos chaveiros que criptografam dados ou arquivos da caixa de correio do cliente. As chaves raiz do cliente só podem ser acessadas indiretamente pelo código de serviço online da Microsoft para criptografia de dados e não podem ser acessadas diretamente pelos funcionários da Microsoft.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são auditados regularmente para conformidade com regulamentos e certificações externas. Consulte a tabela a seguir para validação de controles relacionados à criptografia e ao gerenciamento de chaves.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| ISO 27001/27002 Instrução de Aplicabilidade Certificado |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
6 de novembro de 2023 |
| ISO 27017 Instrução de Aplicabilidade Certificado |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
6 de novembro de 2023 |
| ISO 27018 Instrução de Aplicabilidade Certificado |
A.11.6: Criptografia de PII transmitida por redes públicas de transmissão de dados | 6 de novembro de 2023 |
| SOC 1 SOC 2 SOC 3 |
DS-1: Armazenamento seguro de certificados e chaves criptográficas DS-2: os dados do cliente são criptografados em trânsito DS-3: comunicação interna de componentes do Azure criptografados em trânsito DS-4: controles e procedimentos criptográficos |
17 de novembro de 2023 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP (Office 365) | SC-8: Confidencialidade e integridade da transmissão SC-13: Uso de criptografia SC-28: Proteção de informações em repouso |
31 de julho de 2023 |
| ISO 27001/27002/27017 Instrução de Aplicabilidade Certificação (27001/27002) Certificação (27017) |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
Março de 2022 |
| ISO 27018 Instrução de Aplicabilidade Certificado |
A.11.6: Criptografia de PII transmitida por redes públicas de transmissão de dados | Março de 2022 |
| SOC 2 | CA-44: criptografia de dados em trânsito CA-54: criptografia de dados em repouso CA-62: criptografia da caixa de correio chave do cliente CA-63: exclusão de dados da Chave do Cliente CA-64: Chave do Cliente |
23 de janeiro de 2024 |
| SOC 3 | CUEC-16: chaves de criptografia do cliente CUEC-17: Cofre da Chave do Cliente CUEC-18: Rotação da Chave do Cliente |
23 de janeiro de 2024 |
Recursos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de