Acerca da encriptação de dados
Os dados são o recurso mais valioso e insubstituível de uma organização, e a encriptação serve como a última e mais forte linha de defesa numa estratégia de segurança de dados em várias camadas. Microsoft Os serviços e produtos Business Cloud utilizam encriptação para proteger os dados dos clientes e ajudá-lo a manter o controlo sobre os mesmos.
Proteção de dados inativos
Encriptar as suas informações torna-as ilegíveis para pessoas não autorizadas, mesmo que elas passem pelas suas firewalls, se infiltrem na sua rede, obtenham acesso físico aos seus dispositivos ou contornem as permissões no seu computador local. A encriptação transforma dados para que apenas alguém com a chave de desencriptação possa aceder-lhes.
Dynamics 365 usa armazenamento heterogêneo (Dataverse) para armazenar os dados. Os dados são distribuídos por diferentes tipos de armazenamento:
- Base de Dados SQL do Azure para dados relacionais
- Armazenamento de Blobs do Azure para dados binários, como imagens e documentos
- Azure Search para indexação de pesquisa
- Registo de Atividades do Microsoft 365 e Azure Cosmos DB para dados de auditoria
- Azure Data Lake para análise
As bases de dados do Dataverse estão a utilizar o SQL TDE (Encriptação de Dados Transparente, em conformidade com FIPS 140-2) para fornecer encriptação e desencriptação de E/S em tempo real dos dados e ficheiros de registo para encriptação de dados inativos. A Criptografia de Armazenamento do Azure é usada para dados em repouso armazenados no Armazenamento de Blobs do Azure. Estes são encriptados e desencriptados de forma transparente utilizando encriptação AES de 256 bits em conformidade com FIPS 140-2.
Por padrão, Microsoft armazena e gerencia a chave de criptografia do banco de dados para seus ambientes usando uma Microsoft chave gerenciada. No entanto, o Power Platform fornece uma chave de encriptação gerida pelo cliente (CMK) para um controlo de proteção de dados adicionado, onde pode gerir por si próprio a chave de encriptação da base de dados. A chave de encriptação reside no seu próprio Azure Key Vault, o que lhe permite rodar ou trocar a chave de encriptação a pedido. Também lhe permite impedir Microsoft o acesso aos dados dos seus clientes quando revoga a chave de acesso aos nossos serviços a qualquer momento.
Os administradores podem fornecer a sua própria chave de encriptação utilizando o seu próprio hardware de gerador de chaves (HSM) ou utilizar o Azure Key Vault para gerar uma chave de encriptação. A funcionalidade de gestão de chaves retira a complexidade da gestão da chave de encriptação utilizando o Azure Key Vault para armazenar de forma segura chaves de encriptação. O Azure Key Vault ajuda a salvaguardar chaves criptográficas e segredos utilizados por aplicações cloud e serviços. As chaves de encriptação têm de satisfazer os seguintes requisitos do Azure Key Vault:
- RSA de 2048 bits
- HSM BYOK
Os administradores também podem reverter a chave de criptografia de volta a uma Microsoft chave gerenciada a qualquer momento.
Proteção de dados em trânsito
O Azure protege os dados em trânsito para ou de componentes externos, bem como dados em trânsito internamente, como entre duas redes virtuais. O Azure usa protocolos de transporte padrão do setor, como TLS, entre dispositivos de utente e Microsoft data centers, e dentro dos próprios data centers. Para proteger ainda mais seus dados, a comunicação interna entre Microsoft serviços está a usar Microsoft a rede de backbone e, portanto, não está exposta à internet pública.
Microsoft usa vários métodos, protocolos e algoritmos de criptografia em seus produtos e serviços para ajudar a fornecer um caminho seguro para que os dados trafeguem pela infraestrutura e para ajudar a proteger a confidencialidade dos dados armazenados na infraestrutura. Microsoft usa alguns dos protocolos de criptografia mais fortes e seguros do setor para fornecer uma barreira contra o acesso não autorizado aos seus dados. O gerenciamento adequado de chaves é um elemento essencial nas práticas recomendadas de criptografia e Microsoft ajuda a garantir que as chaves de criptografia sejam adequadamente protegidas.
Exemplos de protocolos e de tecnologias incluem:
- TLS/SSL (Transport Layer Security/Secure Sockets Layer), que utiliza criptografia simétrica baseada num segredo partilhado para encriptar comunicações enquanto viajam pela rede.
- Segurança do Protocolo Internet (IPsec), um conjunto padrão do setor de protocolos utilizados para fornecer autenticação, integridade e confidencialidade de dados ao nível do pacote de IP à medida que é transferido através da rede.
- Norma AES-256 (Advanced Encryption Standard), a especificação do Instituto Nacional de Normas e Tecnologia (NIST) para uma encriptação de dados de chave simétrica que foi adotada pelo governo dos EUA para substituir a Norma de Encriptação de Dados (DES) e a tecnologia de encriptação de chave pública RSA 2048.