Riscos e proteções de criptografia
A Microsoft segue uma estrutura de controle e conformidade que se concentra em riscos para o serviço Microsoft 365 e para os dados do cliente. A Microsoft implementa um grande conjunto de tecnologia e métodos baseados em processo (conhecidos como controles) para mitigar esses riscos. Identificação, avaliação e mitigação de riscos por meio de controles é um processo contínuo.
A implementação de controles em várias camadas de nossos serviços de nuvem, como instalações, rede, servidores, aplicativos, usuários (como administradores da Microsoft) e dados formam uma estratégia de defesa detalhada. A chave para essa estratégia é que muitos controles diferentes são implementados em camadas diferentes para proteger contra os mesmos cenários de risco ou semelhantes. Essa abordagem em várias camadas fornece proteção contra fail-safe caso um controle falhe por algum motivo.
Alguns cenários de risco e as tecnologias de criptografia disponíveis atualmente que as mitigam estão listados abaixo. Esses cenários também são mitigados por meio de outros controles implementados no Office 365.
| Tecnologia de criptografia | Serviços | Gerenciamento de Chaves | Cenário de Risco | Valor |
|---|---|---|---|---|
| BitLocker | Exchange Online, SharePoint Online e Skype for Business | Microsoft | Discos ou servidores são roubados ou reciclados incorretamente. | O BitLocker fornece uma abordagem de segurança contra falhas para proteger contra perda de dados devido a hardware roubado ou reciclado incorretamente (servidor/disco). |
| Criptografia de serviço | SharePoint Online, Skype for Business e OneDrive for Business; Exchange Online | Microsoft | O hacker interno ou externo tenta acessar arquivos/dados individuais como um blob. | Os dados criptografados não podem ser descriptografados sem acesso a chaves. Ajuda a mitigar o risco de um hacker acessar dados. |
| Chave de Cliente | SharePoint Online, OneDrive for Business, Exchange Online e Skype for Business | Cliente | N/A (esse recurso foi projetado como um recurso de conformidade; não como uma mitigação para qualquer risco.) | Ajuda os clientes a cumprir as obrigações internas de regulação e conformidade e a capacidade de deixar o serviço e revogar o acesso da Microsoft aos dados |
| TLS entre o Microsoft 365 e os clientes | Exchange Online, SharePoint Online, OneDrive for Business, Skype for Business, Teams e Viva Engage | Microsoft, Cliente | Man-in-the-middle ou outro ataque para tocar no fluxo de dados entre o Microsoft 365 e os computadores cliente pela Internet. | Essa implementação fornece valor para a Microsoft e os clientes e garante a integridade dos dados à medida que flui entre o Microsoft 365 e o cliente. |
| TLS entre datacenters da Microsoft | Exchange Online, SharePoint Online, OneDrive for Business e Skype for Business | Microsoft | Man-in-the-middle ou other attack to tap the customer data flow between Microsoft 365 servers located in different Microsoft datacenters. | Essa implementação é outro método para proteger dados contra ataques entre datacenters da Microsoft. |
| Gerenciamento de Direitos do Azure (incluído no Microsoft 365 ou no Azure Proteção de Informações) | Exchange Online, SharePoint Online e OneDrive for Business | Cliente | Os dados estão nas mãos de uma pessoa que não deve ter acesso aos dados. | O Azure Proteção de Informações usa o Azure RMS, que fornece valor aos clientes usando políticas de criptografia, identidade e autorização para ajudar a proteger arquivos e emails em vários dispositivos. O Azure RMS fornece valor aos clientes em que todos os emails provenientes do Microsoft 365 que correspondem a determinados critérios (ou seja, todos os emails para um determinado endereço) podem ser criptografados automaticamente antes de serem enviados para outro destinatário. |
| S/MIME | Exchange Online | Cliente | Email cai nas mãos de uma pessoa que não é o destinatário pretendido. | O S/MIME fornece valor aos clientes assegurando que o email criptografado com S/MIME só pode ser descriptografado pelo destinatário direto do email. |
| Criptografia de Mensagem do Office 365 | Exchange Online, SharePoint Online | Cliente | Email, incluindo anexos protegidos, está nas mãos de uma pessoa dentro ou fora do Microsoft 365 que não é o destinatário pretendido do email. | O OME fornece valor aos clientes em que todos os emails provenientes do Microsoft 365 que correspondem a determinados critérios (ou seja, todos os emails para um determinado endereço) são criptografados automaticamente antes de serem enviados para outro destinatário interno ou externo. |
| SMTP TLS com organização de parceiros | Exchange Online | Cliente | Email é interceptado por meio de um ataque de homem no meio ou outro durante o trânsito de um locatário do Microsoft 365 para outra organização parceira. | Esse cenário fornece valor ao cliente para que ele possa enviar/receber todos os emails entre o locatário do Microsoft 365 e a organização de email do parceiro dentro de um canal SMTP criptografado. |
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Tecnologias de criptografia disponíveis em ambientes multilocatários
| Tecnologia de criptografia | Implementado por | Algoritmo e força do Key Exchange | Gerenciamento de Chaves* | FIPS 140-2 Validado |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 bits | A chave externa do AES é armazenada em um Cofre Secreto e no registro do servidor exchange. O Secret Safe é um repositório protegido que requer elevação e aprovações de alto nível para acessar. O acesso só pode ser solicitado e aprovado usando uma ferramenta interna chamada Lockbox. A chave externa do AES também é armazenada no Módulo de Plataforma Confiável no servidor. Uma senha numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim |
| SharePoint Online | AES 256 bits | A chave externa do AES é armazenada em um cofre secreto. O Secret Safe é um repositório protegido que requer elevação e aprovações de alto nível para acessar. O acesso só pode ser solicitado e aprovado usando uma ferramenta interna chamada Lockbox. A chave externa do AES também é armazenada no Módulo de Plataforma Confiável no servidor. Uma senha numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim | |
| Skype for Business | AES 256 bits | A chave externa do AES é armazenada em um cofre secreto. O Secret Safe é um repositório protegido que requer elevação e aprovações de alto nível para acessar. O acesso só pode ser solicitado e aprovado usando uma ferramenta interna chamada Lockbox. A chave externa do AES também é armazenada no Módulo de Plataforma Confiável no servidor. Uma senha numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim | |
| Criptografia de Serviço | SharePoint Online | AES 256 bits | As chaves usadas para criptografar os blobs são armazenadas no Banco de Dados de Conteúdo do SharePoint Online. O Banco de Dados de Conteúdo do SharePoint Online é protegido por controles de acesso de banco de dados e criptografia em repouso. A criptografia é executada usando o TDE no Banco de Dados SQL do Azure. Esses segredos estão no nível de serviço do SharePoint Online, não no nível do locatário. Esses segredos (às vezes chamados de chaves master) são armazenados em um repositório seguro separado chamado Key Store. O TDE fornece segurança em repouso para o banco de dados ativo e os backups de banco de dados e logs de transações. Quando os clientes fornecem a chave opcional, a chave do cliente é armazenada no Azure Key Vault e o serviço usa a chave para criptografar uma chave de locatário, que é usada para criptografar uma chave do site, que é usada para criptografar as chaves do nível do arquivo. Essencialmente, uma nova hierarquia de chave é introduzida quando o cliente fornece uma chave. | Sim |
| Skype for Business | AES 256 bits | Cada pedaço de dados é criptografado usando uma chave de 256 bits gerada aleatoriamente diferente. A chave de criptografia é armazenada em um arquivo XML de metadados correspondente, que também é criptografado por uma chave de master por conferência. A chave master também é gerada aleatoriamente uma vez por conferência. | Sim | |
| Exchange Online | AES 256 bits | Cada caixa de correio é criptografada usando uma política de criptografia de dados que usa chaves de criptografia controladas pela Microsoft ou pelo cliente (quando a Chave do Cliente é usada). | Sim | |
| TLS entre o Microsoft 365 e clientes/parceiros | Exchange Online | TLS oportunista que dá suporte a vários pacotes de criptografia | O certificado TLS para Exchange Online (outlook.office.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado raiz TLS para Exchange Online é um certificado de SHA1RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim, quando o TLS 1.2 com força de criptografia de 256 bits é usado |
| SharePoint Online | TLS 1.2 com a AES 256 Criptografia de dados no OneDrive for Business e no SharePoint Online |
O certificado TLS do SharePoint Online (*.sharepoint.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado raiz do TLS para SharePoint Online é um certificado de SHA1RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| Skype for Business | TLS para comunicações SIP e sessões de compartilhamento de dados PSOM | O certificado TLS para Skype for Business (*.lync.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado raiz TLS para Skype for Business é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| Microsoft Teams | TLS 1.2 com a AES 256 Perguntas frequentes sobre o Microsoft Teams – ajuda Administração |
O certificado TLS do Microsoft Teams (teams.microsoft.com, edge.skype.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado raiz TLS para Microsoft Teams é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| TLS entre datacenters da Microsoft | Todos os serviços do Microsoft 365 | TLS 1.2 com a AES 256 Protocolo de transporte seguro em tempo real (SRTP) |
A Microsoft usa uma autoridade de certificação gerenciada e implantada internamente para comunicações servidor a servidor entre datacenters da Microsoft. | Sim |
| Gerenciamento de Direitos do Azure (incluído no Microsoft 365 ou no Azure Proteção de Informações) | Exchange Online | Dá suporte ao Modo Criptográfico 2, uma implementação criptográfica RMS atualizada e aprimorada. Ele dá suporte à RSA 2048 para assinatura e criptografia e SHA-256 para hash na assinatura. | Gerenciado pela Microsoft. | Sim |
| SharePoint Online | Dá suporte ao Modo Criptográfico 2, uma implementação criptográfica RMS atualizada e aprimorada. Ele dá suporte à RSA 2048 para assinatura e criptografia e SHA-256 para assinatura. | Gerenciado pela Microsoft, que é a configuração padrão; Ou Gerenciado pelo cliente, que é uma alternativa às chaves gerenciadas pela Microsoft. As organizações que têm uma assinatura do Azure gerenciada por TI podem usar BYOK e registrar seu uso sem custo adicional. Para obter mais informações, confira Implementando trazer sua própria chave. Nesta configuração, os HSMs nCipher são usados para proteger suas chaves. |
Sim | |
| S/MIME | Exchange Online | Sintaxe de mensagem criptográfica Standard 1.5 (PKCS #7) | Depende da infraestrutura de chave pública gerenciada pelo cliente implantada. O gerenciamento de chaves é executado pelo cliente e a Microsoft nunca tem acesso às chaves privadas usadas para assinatura e descriptografia. | Sim, quando configurado para criptografar mensagens de saída com 3DES ou AES256 |
| Criptografia de Mensagem do Office 365 | Exchange Online | O mesmo que o Azure RMS (Modo Criptográfico 2 – RSA 2048 para assinatura e criptografia e SHA-256 para assinatura) | Usa o Azure Proteção de Informações como sua infraestrutura de criptografia. O método de criptografia usado depende do local que você obtém as chaves do RMS usadas para criptografar e descriptografar mensagens. | Sim |
| SMTP TLS com organização de parceiros | Exchange Online | TLS 1.2 com a AES 256 | O certificado TLS para Exchange Online (outlook.office.com) é um SHA-256 de 2048 bits com certificado RSA Encryption emitido pela DigiCert Serviços de Nuvem CA-1. O certificado raiz TLS para Exchange Online é um SHA-1 de 2048 bits com certificado RSA Encryption emitido pela GlobalSign Root CA – R1. Esteja ciente de que, por razões de segurança, nossos certificados mudam de vez em quando. |
Sim, quando o TLS 1.2 com força de criptografia de 256 bits é usado |
*Certificados TLS referenciados nesta tabela são para datacenters dos EUA; Os datacenters não americanos também usam certificados de SHA256RSA de 2048 bits.
Tecnologias de criptografia disponíveis em ambientes de comunidade de nuvem do governo
| Tecnologia de criptografia | Implementado por | Algoritmo e força do Key Exchange | Gerenciamento de Chaves* | FIPS 140-2 Validado |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 bits | A chave externa do AES é armazenada em um Cofre Secreto e no registro do servidor exchange. O Secret Safe é um repositório protegido que requer elevação e aprovações de alto nível para acessar. O acesso só pode ser solicitado e aprovado usando uma ferramenta interna chamada Lockbox. A chave externa do AES também é armazenada no Módulo de Plataforma Confiável no servidor. Uma senha numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim |
| SharePoint Online | AES 256 bits | A chave externa do AES é armazenada em um cofre secreto. O Secret Safe é um repositório protegido que requer elevação e aprovações de alto nível para acessar. O acesso só pode ser solicitado e aprovado usando uma ferramenta interna chamada Lockbox. A chave externa do AES também é armazenada no Módulo de Plataforma Confiável no servidor. Uma senha numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim | |
| Skype for Business | AES 256 bits | A chave externa do AES é armazenada em um cofre secreto. O Secret Safe é um repositório protegido que requer elevação e aprovações de alto nível para acessar. O acesso só pode ser solicitado e aprovado usando uma ferramenta interna chamada Lockbox. A chave externa do AES também é armazenada no Módulo de Plataforma Confiável no servidor. Uma senha numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim | |
| Criptografia de Serviço | SharePoint Online | AES 256 bits | As chaves usadas para criptografar os blobs são armazenadas no Banco de Dados de Conteúdo do SharePoint Online. Os Bancos de Dados de Conteúdo do SharePoint Online são protegidos por controles de acesso de banco de dados e criptografia em repouso. A criptografia é executada usando o TDE no Banco de Dados SQL do Azure. Esses segredos estão no nível de serviço do SharePoint Online, não no nível do locatário. Esses segredos (às vezes chamados de chaves master) são armazenados em um repositório seguro separado chamado Key Store. O TDE fornece segurança em repouso para o banco de dados ativo e os backups de banco de dados e logs de transações. Quando os clientes fornecem a chave opcional, a Chave do Cliente é armazenada no Azure Key Vault e o serviço usa a chave para criptografar uma chave de locatário, que é usada para criptografar uma chave do site, que é usada para criptografar as chaves do nível do arquivo. Essencialmente, uma nova hierarquia de chave é introduzida quando o cliente fornece uma chave. | Sim |
| Skype for Business | AES 256 bits | Cada pedaço de dados é criptografado usando uma chave de 256 bits gerada aleatoriamente diferente. A chave de criptografia é armazenada em um arquivo XML de metadados correspondente, que também é criptografado por uma chave de master por conferência. A chave master também é gerada aleatoriamente uma vez por conferência. | Sim | |
| Exchange Online | AES 256 bits | Cada caixa de correio é criptografada usando uma política de criptografia de dados que usa chaves de criptografia controladas pela Microsoft ou pelo cliente (quando a Chave do Cliente é usada). | Sim | |
| TLS entre o Microsoft 365 e clientes/parceiros | Exchange Online | TLS oportunista que dá suporte a vários pacotes de criptografia | O certificado TLS para Exchange Online (outlook.office.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado raiz TLS para Exchange Online é um certificado de SHA1RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim, quando o TLS 1.2 com força de criptografia de 256 bits é usado |
| SharePoint Online | TLS 1.2 com a AES 256 | O certificado TLS do SharePoint Online (*.sharepoint.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado raiz do TLS para SharePoint Online é um certificado de SHA1RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| Skype for Business | TLS para comunicações SIP e sessões de compartilhamento de dados PSOM | O certificado TLS para Skype for Business (*.lync.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado raiz TLS para Skype for Business é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| Microsoft Teams | Perguntas frequentes sobre o Microsoft Teams – ajuda Administração | O certificado TLS do Microsoft Teams (teams.microsoft.com; edge.skype.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado raiz TLS para Microsoft Teams é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| TLS entre datacenters da Microsoft | Exchange Online, SharePoint Online, Skype for Business | TLS 1.2 com a AES 256 | A Microsoft usa uma autoridade de certificação gerenciada e implantada internamente para comunicações servidor a servidor entre datacenters da Microsoft. | Sim |
| Protocolo de transporte seguro em tempo real (SRTP) | ||||
| Serviço de Gerenciamento de Direitos do Azure | Exchange Online | Dá suporte ao Modo Criptográfico 2, uma implementação criptográfica RMS atualizada e aprimorada. Ele dá suporte à RSA 2048 para assinatura e criptografia e SHA-256 para hash na assinatura. | Gerenciado pela Microsoft. | Sim |
| SharePoint Online | Dá suporte ao Modo Criptográfico 2, uma implementação criptográfica RMS atualizada e aprimorada. Ele dá suporte à RSA 2048 para assinatura e criptografia e SHA-256 para hash na assinatura. | Gerenciado pela Microsoft, que é a configuração padrão; Ou Gerenciado pelo cliente (também conhecido como BYOK), que é uma alternativa às chaves gerenciadas pela Microsoft. As organizações que têm uma assinatura do Azure gerenciada por TI podem usar BYOK e registrar seu uso sem custo adicional. Para obter mais informações, confira Implementando trazer sua própria chave. No cenário BYOK, os HSMs nCipher são usados para proteger suas chaves. |
Sim | |
| S/MIME | Exchange Online | Sintaxe de mensagem criptográfica Standard 1.5 (PKCS #7) | Depende da infraestrutura de chave pública implantada. | Sim, quando configurado para criptografar mensagens de saída com 3DES ou AES-256. |
| Criptografia de Mensagem do Office 365 | Exchange Online | O mesmo que o Azure RMS (Modo Criptográfico 2 – RSA 2048 para assinatura e criptografia e SHA-256 para hash na assinatura) | Usa o Azure RMS como sua infraestrutura de criptografia. O método de criptografia usado depende do local que você obtém as chaves do RMS usadas para criptografar e descriptografar mensagens. Se você usar o Microsoft Azure RMS para obter as chaves, o Modo Criptográfico 2 será usado. Se você usar o Active Directory (AD) RMS para obter as chaves, o Modo Criptográfico 1 ou o Modo Criptográfico 2 será utilizado. O método utilizado depende de sua implantação do AD RMS no local. O Modo Criptográfico 1 é a implementação criptográfica original do AD RMS. Ele dá suporte ao RSA 1024 para assinatura e criptografia e dá suporte ao SHA-1 para assinatura. Esse modo continua a ser suportado por todas as versões atuais do RMS, exceto por configurações BYOK que usam HSMs. |
Sim |
| SMTP TLS com organização de parceiros | Exchange Online | TLS 1.2 com a AES 256 | O certificado TLS para Exchange Online (outlook.office.com) é um SHA-256 de 2048 bits com certificado RSA Encryption emitido pela DigiCert Serviços de Nuvem CA-1. O certificado raiz TLS para Exchange Online é um SHA-1 de 2048 bits com certificado RSA Encryption emitido pela GlobalSign Root CA – R1. Esteja ciente de que, por razões de segurança, nossos certificados mudam de vez em quando. |
Sim, quando o TLS 1.2 com força de criptografia de 256 bits é usado |
*Certificados TLS referenciados nesta tabela são para datacenters dos EUA; Os datacenters não americanos também usam certificados de SHA256RSA de 2048 bits.