Compartilhar via


Visão geral de gerenciamento de criptografia e chaves

Que função desempenha a encriptação na proteção do conteúdo do cliente?

A maioria dos serviços cloud empresariais da Microsoft são multi-inquilinos, o que significa que os conteúdos dos clientes podem ser armazenados no mesmo hardware físico que outros clientes. Para proteger a confidencialidade dos conteúdos dos clientes, a Microsoft serviços online encriptar todos os dados inativos e em trânsito com alguns dos protocolos de encriptação mais fortes e seguros disponíveis.

A encriptação não substitui controlos de acesso fortes. A política de controlo de acesso da Microsoft de Acesso Permanente Zero (ZSA) protege os conteúdos dos clientes contra o acesso não autorizado por funcionários da Microsoft. A encriptação complementa o controlo de acesso ao proteger a confidencialidade dos conteúdos dos clientes onde quer que estejam armazenados e ao impedir que os conteúdos sejam lidos enquanto estão em trânsito entre os sistemas de serviços online da Microsoft ou entre o Microsoft serviços online e o cliente.

Como é que o Microsoft serviços online encriptar dados inativos?

Todo o conteúdo do cliente no Microsoft serviços online está protegido por uma ou mais formas de encriptação. Os servidores da Microsoft utilizam o BitLocker para encriptar as unidades de disco que contêm conteúdo do cliente ao nível do volume. A encriptação fornecida pelo BitLocker protege o conteúdo do cliente se existirem lapsos noutros processos ou controlos (por exemplo, controlo de acesso ou reciclagem de hardware) que possam levar a um acesso físico não autorizado a discos que contenham conteúdo de cliente.

Além da encriptação ao nível do volume, o Microsoft serviços online utilizar a encriptação na camada da aplicação para encriptar o conteúdo do cliente. A encriptação de serviço fornece funcionalidades de gestão e proteção de direitos para além da proteção de encriptação forte. Também permite a separação entre os sistemas operativos Windows e os dados do cliente armazenados ou processados por esses sistemas operativos.

Como é que o Microsoft serviços online encriptar dados em trânsito?

A Microsoft serviços online utilizar protocolos de transporte fortes, como o Transport Layer Security (TLS), para impedir que entidades não autorizadas efetuem escutas nos dados dos clientes enquanto passam por uma rede. Exemplos de dados em trânsito incluem mensagens de correio que estão a ser entregues, conversações a decorrer numa reunião online ou ficheiros a serem replicados entre datacenters.

Para o Microsoft serviços online, os dados são considerados "em trânsito" sempre que o dispositivo de um utilizador está a comunicar com um servidor Microsoft ou um servidor Microsoft está a comunicar com outro servidor.

Como é que o Microsoft serviços online gerir as chaves utilizadas para encriptação?

A encriptação forte é tão segura quanto as chaves utilizadas para encriptar dados. A Microsoft utiliza os seus próprios certificados de segurança e chaves associadas para encriptar ligações TLS para dados em trânsito. Para dados inativos, os volumes protegidos pelo BitLocker são encriptados com uma chave de encriptação de volume completa, que é encriptada com uma chave de master de volume, que por sua vez está vinculada ao Trusted Platform Module (TPM) no servidor. O BitLocker utiliza algoritmos compatíveis com FIPS 140-2 para garantir que as chaves de encriptação nunca são armazenadas ou enviadas por cima do fio de forma clara.

A encriptação de serviço fornece outra camada de encriptação para dados inativos do cliente, dando aos clientes duas opções para a gestão de chaves de encriptação: chaves geridas pela Microsoft ou Chave de Cliente. Ao utilizar chaves geridas pela Microsoft, o Microsoft serviços online gerar e armazenar automaticamente as chaves raiz utilizadas para a encriptação de serviços de forma automática.

Os clientes com requisitos para controlar as suas próprias chaves de encriptação de raiz podem utilizar a encriptação de serviço com a Chave de Cliente do Microsoft Purview. Com a Chave de Cliente, os clientes podem gerar as suas próprias chaves criptográficas com um Módulo de Serviço de Hardware (HSM) no local ou o Azure Key Vault (AKV). As chaves de raiz do cliente são armazenadas no AKV, onde podem ser utilizadas como a raiz de um dos porta-chaves que encripta os dados ou ficheiros da caixa de correio do cliente. As chaves de raiz do cliente só podem ser acedidas indiretamente pelo código de serviço online da Microsoft para encriptação de dados e não podem ser acedidas diretamente pelos funcionários da Microsoft.

Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com a encriptação e a gestão de chaves.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001

Declaração de Aplicabilidade
Certificado
A.10.1: Controlos criptográficos
A.18.1.5: Controlos criptográficos
8 de abril de 2024
ISO 27017

Declaração de Aplicabilidade
Certificado
A.10.1: Controlos criptográficos
A.18.1.5: Controlos criptográficos
8 de abril de 2024
ISO 27018

Declaração de Aplicabilidade
Certificado
A.11.6: Encriptação do PII transmitida através de redes de transmissão de dados públicas 8 de abril de 2024
SOC 1
SOC 2
SOC 3
DS-1: Armazenamento seguro de certificados criptográficos e chaves
DS-2: Os dados do cliente são encriptados em trânsito
DS-3: comunicação interna de componentes do Azure encriptados em trânsito
DS-4: Controlos criptográficos e procedimentos
16 de agosto de 2024

Microsoft 365

Auditorias externas Section Data do relatório mais recente
FedRAMP SC-8: Confidencialidade e integridade da transmissão
SC-13: Utilização da criptografia
SC-28: Proteção das informações inativas
21 de agosto de 2024
ISO 27001/27017

Declaração de Aplicabilidade
Certificação (27001)
Certificação (27017)
A.10.1: Controlos criptográficos
A.18.1.5: Controlos criptográficos
Março de 2022
ISO 27018

Declaração de Aplicabilidade
Certificado
A.11.6: Encriptação do PII transmitida através de redes de transmissão de dados públicas Março de 2022
SOC 2 CA-44: Encriptação de dados em trânsito
CA-54: Encriptação de dados inativos
CA-62: Encriptação da caixa de correio chave do cliente
CA-63: Eliminação de dados da Chave de Cliente
CA-64: Chave de Cliente
23 de janeiro de 2024
SOC 3 CUEC-16: Chaves de encriptação do cliente
CUEC-17: Cofre de Chaves do Cliente
CUEC-18: Rotação da Chave de Cliente
23 de janeiro de 2024