BitLocker и распределенный диспетчер ключей (DKM) для шифрования

  • Статья

Серверы Майкрософт используют BitLocker для шифрования дисков, содержащих неактивные данные клиента на уровне тома. Шифрование BitLocker — это функция защиты данных, встроенная в Windows. BitLocker — это одна из технологий, используемых для защиты от угроз в случае сбоев в других процессах или элементах управления (например, управление доступом или повторное использование оборудования), которые могут привести к получению физического доступа к дискам, содержащим данные клиента. В этом случае BitLocker устраняет вероятность кражи или раскрытия данных из-за потери, похищения или неправильного вывода компьютеров и дисков из эксплуатации.

BitLocker развертывается с 256-разрядным шифрованием AES на дисках, содержащих данные клиента в Exchange Online, SharePoint Online и Skype для бизнеса. Секторы диска шифруются с помощью полного ключа шифрования тома (FVEK), который шифруется с помощью главного ключа тома (VMK), который, в свою очередь, привязан к доверенному платформенного модуля (TPM) на сервере. VmK напрямую защищает FVEK, поэтому защита виртуальной машины становится критически важной. На следующем рисунке показан пример цепочки защиты ключей BitLocker для заданного сервера (в данном случае с использованием Exchange Online сервера).

В следующей таблице описана цепочка защиты ключей BitLocker для заданного сервера (в данном случае Exchange Online сервера).

ЗАЩИТА КЛЮЧЕЙ ГРАНУЛЯРНОСТИ КАК СГЕНЕРИРОВАНО? ГДЕ ОН ХРАНИТСЯ? ЗАЩИТЫ
256-разрядный внешний ключ AES На сервер API BitLocker TPM или секретный безопасный Блокировка и контроль доступа
Реестр сервера почтовых ящиков Шифрование доверенного платформенного модуля
Числовой пароль из 48 цифр На диск API BitLocker Active Directory Блокировка и контроль доступа
Сертификат X.509 в качестве агента восстановления данных (DRA) также называется защитником открытого ключа Среда (например, Exchange Online мультитенантная среда) ЦС Майкрософт Сборка системы Ни у одного пользователя нет полного пароля к закрытому ключу. Пароль находится под физической защитой.

Управление ключами BitLocker включает управление ключами восстановления, которые используются для разблокировки и восстановления зашифрованных дисков в центре обработки данных Майкрософт. Microsoft 365 хранит основные ключи в защищенной общей папке, доступной только тем лицам, которые проверены и утверждены. Учетные данные для ключей хранятся в защищенном репозитории для данных управления доступом (то, что мы называем "хранилищем секретов"), что требует высокого уровня повышения прав и разрешений управления для доступа с помощью JIT-средства повышения прав доступа.

BitLocker поддерживает ключи, которые соответствуют двум категориям управления:

  • Ключи, управляемые BitLocker, которые являются краткосрочными и привязаны к времени существования экземпляра операционной системы, установленного на сервере или на заданном диске. Эти ключи удаляются и сбрасываются во время переустановки сервера или форматирования диска.

  • Ключи восстановления BitLocker, которые управляются за пределами BitLocker, но используются для расшифровки дисков. BitLocker использует ключи восстановления для сценария, в котором выполняется переустановка операционной системы, а диски с зашифрованными данными уже существуют. Ключи восстановления также используются пробами мониторинга управляемой доступности в Exchange Online, где отвечающей стороне может потребоваться разблокировать диск.

Тома, защищенные BitLocker, шифруются с помощью полного ключа шифрования тома, который, в свою очередь, шифруется с помощью ключа master тома. BitLocker использует совместимые с FIPS алгоритмы, чтобы ключи шифрования никогда не сохранялись и не отправлялись по проводу в прозрачном режиме. Реализация защиты неактивных данных в Microsoft 365 не отклоняется от реализации BitLocker по умолчанию.