Шифрование для Skype для бизнеса, OneDrive для бизнеса, SharePoint Online, Microsoft Teams и Exchange Online
Microsoft 365 — это высокозащищенная среда, которая обеспечивает обширную защиту на нескольких уровнях: безопасность физического центра обработки данных, сетевая безопасность, безопасность доступа, безопасность приложений и безопасность данных.
Skype для бизнеса
Skype для бизнеса данные клиента могут храниться в неактивных файлах или презентациях, которые передаются участниками собрания. Сервер веб-конференций шифрует данные клиента с помощью AES с 256-разрядным ключом. Зашифрованные данные клиента хранятся в общей папке. Каждый фрагмент данных клиента шифруется с помощью другого случайно созданного 256-разрядного ключа. При совместном использовании части данных клиента в конференции сервер веб-конференций указывает клиентам конференц-связи скачать зашифрованные данные клиента по протоколу HTTPS. Он отправляет соответствующий ключ клиентам, чтобы данные клиента можно было расшифровать. Сервер веб-конференций также проверяет подлинность клиентов конференц-связи, прежде чем он разрешает клиентам доступ к данным клиентов конференции. При присоединении к веб-конференции каждый клиент конференц-связи устанавливает диалог SIP с компонентом фокуса конференц-связи, который сначала выполняется на интерфейсном сервере по протоколу TLS. Фокус конференц-связи передает клиенту конференции файл cookie проверки подлинности, созданный сервером веб-конференций. Затем клиент конференц-связи подключается к серверу веб-конференций, предоставляя файл cookie проверки подлинности для проверки подлинности на сервере.
SharePoint Online и OneDrive для бизнеса
Все клиентские файлы в SharePoint Online защищены уникальными ключами для каждого файла, которые всегда являются эксклюзивными для одного клиента. Ключи создаются и управляются службой SharePoint Online или когда ключ клиента используется, создается и управляется клиентами. При отправке файла SharePoint Online выполняет шифрование в контексте запроса на отправку перед отправкой в службу хранилища Azure. При скачивании файла SharePoint Online извлекает зашифрованные данные клиента из хранилища Azure на основе уникального идентификатора документа и расшифровывает данные клиента перед отправкой их пользователю. Служба хранилища Azure не может расшифровывать или даже идентифицировать или понимать данные клиента. Все шифрование и расшифровка выполняются в одних и том же системах, которые обеспечивают изоляцию клиента, которые являются идентификатором Microsoft Entra и SharePoint Online.
Несколько рабочих нагрузок в Microsoft 365 хранят данные в SharePoint Online, включая Microsoft Teams, которая хранит все файлы в SharePoint Online, и OneDrive для бизнеса, которая использует SharePoint Online для хранения. Все данные клиентов, хранящиеся в SharePoint Online, шифруются (с одним или несколькими 256-разрядными ключами AES) и распределяются по центру обработки данных следующим образом. (Каждый шаг этого процесса шифрования проверяется fips 140-2 уровня 2. Дополнительные сведения о соответствии FIPS 140-2 см. в разделе Соответствие FIPS 140-2.)
Каждый файл разбивается на один или несколько блоков в зависимости от размера файла. Каждый блок шифруется с помощью собственного уникального 256-разрядного ключа AES.
При обновлении файла обновление обрабатывается таким же образом: изменение разбивается на один или несколько блоков, и каждый блок шифруется с помощью отдельного уникального ключа.
Эти блоки — файлы, фрагменты файлов и изменения обновлений — хранятся в хранилище Azure в виде BLOB-объектов, которые случайным образом распределены между несколькими учетными записями хранения Azure.
Набор ключей шифрования для этих блоков данных клиента сам шифруется.
- Ключи, используемые для шифрования больших двоичных объектов, хранятся в базе данных контента SharePoint Online.
- База данных контента защищена средствами управления доступом к базе данных и шифрованием неактивных данных. Шифрование выполняется с помощью прозрачного шифрования данных (TDE) в базе данных Azure SQL. (база данных Azure SQL — это служба реляционных баз данных общего назначения в Microsoft Azure, которая поддерживает такие структуры, как реляционные данные, JSON, пространственные данные и XML.) Эти секреты находятся на уровне службы Для SharePoint Online, а не на уровне клиента. Эти секреты (иногда называемые ключами master) хранятся в отдельном безопасном репозитории, называемом хранилищем ключей. TDE обеспечивает безопасность неактивных баз данных и резервных копий базы данных, а также журналов транзакций.
- Когда клиенты предоставляют необязательный ключ, ключ клиента хранится в azure Key Vault, а служба использует его для шифрования ключа клиента, который используется для шифрования ключа сайта, который затем используется для шифрования ключей на уровне файлов. По сути, новая иерархия ключей вводится, когда клиент предоставляет ключ.
Карта, используемая для повторной сборки файла, хранится в базе данных содержимого вместе с зашифрованными ключами отдельно от ключа master, необходимого для их расшифровки.
Каждая учетная запись хранения Azure имеет собственные уникальные учетные данные для каждого типа доступа (чтение, запись, перечисление и удаление). Каждый набор учетных данных содержится в безопасном хранилище ключей и регулярно обновляется. Как описано выше, существует три разных типа хранилищ, каждое из которых имеет отдельную функцию:
- Данные клиентов хранятся в виде зашифрованных BLOB-объектов в хранилище Azure. Ключ к каждому фрагменту данных клиента шифруется и хранится отдельно в базе данных контента. Данные клиента сами по себе не имеют представления о том, как их можно расшифровать.
- База данных контента это база данных SQL Server. Он содержит карту, необходимую для поиска и повторного объединения больших двоичных объектов данных клиента, хранящиеся в службе хранилища Azure, а также ключей, необходимых для шифрования этих BLOB-объектов. Однако сам набор ключей шифруется (как описано выше) и хранится в отдельном хранилище ключей.
- Хранилище ключей физически отделяется от Базы данных контента и хранилища Azure. Он содержит учетные данные для каждого контейнера хранилища Azure и ключ master набор зашифрованных ключей, хранящиеся в Базе данных контента.
Каждый из этих трех компонентов хранилища — хранилище BLOB-объектов Azure, база данных контента и хранилище ключей — физически отделен. Информация, хранящаяся в каждом из компонентов, не может использоваться самостоятельно. Без доступа ко всем трем невозможно получить ключи к блокам, расшифровать ключи, чтобы сделать их пригодными для использования, связать ключи с соответствующими блоками, расшифровать каждый блок или воссоздать документ из его составляющих блоков.
Сертификаты BitLocker, которые защищают тома физических дисков на компьютерах в центре обработки данных, хранятся в безопасном репозитории (хранилище секретов SharePoint Online), защищенном ключом фермы.
Ключи TDE, которые защищают ключи blob-объектов, хранятся в двух местах:
- Безопасный репозиторий, который содержит сертификаты BitLocker и защищен ключом фермы; И
- В безопасном репозитории, управляемом Azure SQL Database.
Учетные данные, используемые для доступа к контейнерам хранилища Azure, также хранятся в хранилище секретов SharePoint Online и по мере необходимости делегируются каждой ферме SharePoint Online. Эти учетные данные представляют собой подписи SAS службы хранилища Azure, с отдельными учетными данными, используемыми для чтения или записи данных, а также с политикой, применяемой для автоматического истечения срока действия каждые 60 дней. Различные учетные данные используются для чтения или записи данных (не оба), а фермам SharePoint Online не предоставляются разрешения на перечисление.
Примечание.
Для клиентов Office 365 для государственных организаций США большие двоичные объекты хранятся в хранилище Azure для государственных организаций США. Кроме того, доступ к ключам SharePoint Online в Office 365 правительства США ограничен Office 365 сотрудниками, которые были специально проверены. Сотрудники Azure для государственных организаций США не имеют доступа к хранилищу ключей SharePoint Online, которое используется для шифрования больших двоичных объектов данных.
Дополнительные сведения о шифровании данных в SharePoint Online и OneDrive для бизнеса см. в статье Шифрование данных в OneDrive для бизнеса и SharePoint Online.
Элементы списка в SharePoint Online
Элементы списка — это небольшие блоки данных клиентов, которые создаются нерегламентированно или могут более динамически жить на сайте, например строки в созданном пользователем списке, отдельные публикации в блоге SharePoint Online или записи на вики-странице SharePoint Online. Элементы списка хранятся в базе данных контента (Azure SQL базе данных) и защищаются с помощью TDE.
Шифрование транзитных данных
В OneDrive для бизнеса и SharePoint Online используются два сценария для входящих и исходящих данных в центрах данных.
- Взаимодействие клиента с сервером. Обмен данными с SharePoint Online и OneDrive для бизнеса через Интернет использует tls-подключения.
- Перемещение данных между центрами обработки данных . Основная причина перемещения данных между центрами обработки данных — георепликация для обеспечения аварийного восстановления. Например, SQL Server журналы транзакций и разностные данные хранилища BLOB-объектов перемещаются по этому каналу. Хотя эти данные передаются по частной сети, они дополнительно защищены лучшим в своем классе шифрованием.
Exchange Online.
Exchange Online использует BitLocker для всех данных почтовых ящиков, а конфигурация BitLocker описана в разделе BitLocker для шифрования. Шифрование на уровне службы шифрует все данные почтового ящика на уровне почтового ящика.
Помимо шифрования служб, Microsoft 365 поддерживает ключ клиента, который основан на шифровании служб. Ключ клиента — это управляемый корпорацией Майкрософт параметр ключа для шифрования службы Exchange Online, который также включен в дорожную карту Майкрософт. Этот метод шифрования обеспечивает повышенную защиту, не обеспечиваемую BitLocker, так как он обеспечивает разделение администраторов сервера и криптографических ключей, необходимых для расшифровки данных, и поскольку шифрование применяется непосредственно к данным (в отличие от BitLocker, который применяет шифрование на томе логического диска), все данные клиента, скопированные с сервера Exchange Server, остаются зашифрованными.
Область шифрования службы Exchange Online — это данные клиента, которые хранятся в неактивных данных в Exchange Online. (Skype для бизнеса хранит почти все созданное пользователем содержимое в Exchange Online почтовом ящике пользователя и, следовательно, наследует функцию шифрования службы Exchange Online.)
Microsoft Teams
Teams использует TLS и MTLS для шифрования мгновенных сообщений. Для всего трафика между серверами требуется mtls, независимо от того, ограничен ли трафик внутренней сетью или пересекает периметр внутренней сети.
В этой таблице перечислены протоколы, используемые Teams.
| Тип трафика | Зашифровано с помощью |
|---|---|
| Межсерверное соединение | MTLS |
| Подключение клиента к серверу (например, обмен мгновенными сообщениями и присутствие) | TLS; |
| Потоки мультимедиа (например, общий доступ к аудио- и видео) | TLS; |
| Общий доступ к аудио- и видеофайлам мультимедиа | SRTP/TLS |
| Передача сигналов | TLS; |
Шифрование мультимедиа
Трафик мультимедиа шифруется с помощью secure RTP (SRTP), профиля Real-Time транспортного протокола (RTP), который обеспечивает конфиденциальность, проверку подлинности и защиту от атак воспроизведения для трафика RTP. SRTP использует ключ сеанса, созданный с помощью безопасного генератора случайных чисел, и обменивается с помощью сигнального канала TLS. Трафик мультимедиа между клиентом и клиентом согласовывается через передачу сигналов о подключении между клиентом и сервером, но шифруется с помощью SRTP при переходе между клиентом напрямую.
Teams использует маркер на основе учетных данных для безопасного доступа к ретрансляторам мультимедиа через TURN. Ретрансляторы мультимедиа обмениваются маркером через защищенный TLS-канал.
FIPS
Teams использует алгоритмы, совместимые с FIPS (Federal Information Processing Standard), для обмена ключами шифрования. Дополнительные сведения о реализации FIPS см. в публикации 140-2 Федерального стандарта обработки информации (FIPS).
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по