Шифрование в Microsoft Cloud

  • Статья

Данные клиентов в корпоративных облачных службах Майкрософт защищены несколькими технологиями и процессами, включая различные формы шифрования. (Данные клиента в этом документе включают Exchange Online содержимое почтового ящика, текст электронной почты, записи календаря и содержимое вложений электронной почты, а также, если применимо, содержимое Skype для бизнеса, содержимое сайта SharePoint Online и файлы, хранящиеся на сайтах, а также файлы, отправленные в OneDrive для бизнеса или Skype для бизнеса.) Корпорация Майкрософт использует несколько методов шифрования, протоколов и шифров в своих продуктах и службах, чтобы обеспечить безопасный путь для передачи данных клиентов через наши облачные службы и защитить конфиденциальность данных клиентов, хранящихся в наших облачных службах. Корпорация Майкрософт использует некоторые из самых надежных и безопасных протоколов шифрования, доступных для создания барьеров для несанкционированного доступа к данным клиентов. Правильное управление ключами также является важным элементом рекомендаций по шифрованию, и корпорация Майкрософт работает над обеспечением надлежащей защиты всех ключей шифрования, управляемых Корпорацией Майкрософт.

Данные клиентов, хранящиеся в корпоративных облачных службах Майкрософт, защищены с помощью одной или нескольких форм шифрования. (Проверка нашей политики шифрования и ее применение независимо проверяется несколькими сторонними аудиторами, а отчеты об этих аудитах доступны на портале service Trust Portal.)

Корпорация Майкрософт предоставляет технологии на стороне службы, которые шифруют неактивные и передаваемые данные клиентов. Например, для неактивных данных клиентов Microsoft Azure использует BitLocker и DM-Crypt, а Microsoft 365 — BitLocker, шифрование службы хранилища Azure, диспетчер распределенных ключей (DKM) и шифрование службы Microsoft 365. Для передачи данных клиентов Azure, Office 365, коммерческая поддержка Майкрософт, Microsoft Dynamics 365, Microsoft Power BI и Visual Studio Team Services использовать стандартные отраслевые безопасные транспортные протоколы, такие как IPsec и TLS, между центрами обработки данных Майкрософт и между пользовательскими устройствами и Центры обработки данных Майкрософт.

В дополнение к базовому уровню криптографической безопасности, предоставляемому корпорацией Майкрософт, наши облачные службы также включают параметры шифрования, которыми можно управлять. Например, можно включить шифрование для трафика между виртуальными машинами Azure и пользователями. С помощью виртуальных сетей Azure можно использовать стандартный отраслевой протокол IPsec для шифрования трафика между корпоративным VPN-шлюзом и Azure. Вы также можете зашифровать трафик между виртуальными машинами в виртуальной сети. Кроме того, новые возможности шифрования сообщений Office 365 позволяют отправлять зашифрованные сообщения всем пользователям.

В соответствии со стандартом операционной безопасности инфраструктуры открытых ключей, который является компонентом политики безопасности Майкрософт, корпорация Майкрософт использует возможности шифрования, включенные в операционную систему Windows, для сертификатов и механизмов проверки подлинности. Эти механизмы включают использование криптографических модулей, которые соответствуют федеральному стандарту обработки информации (FIPS) 140-2 правительства США. Вы можете найти соответствующие номера сертификатов NIST для Корпорации Майкрософт с помощью программы проверки криптографических модулей CMVP.

[ПРИМЕЧАНИЕ] Чтобы получить доступ к политике безопасности Майкрософт в качестве ресурса, необходимо войти с помощью рабочей или учебной учетной записи. Если у вас еще нет подписки, вы можете зарегистрироваться для получения бесплатной пробной версии.

FIPS 140-2 — это стандарт, разработанный специально для проверки модулей продуктов, реализующих шифрование, а не продуктов, которые их используют. Модули шифрования, реализованные в службе, можно сертифицировать как отвечающие требованиям к надежности хэша, управлению ключами и т. е. Криптографические модули и шифры, используемые для защиты конфиденциальности, целостности или доступности данных в облачных службах Майкрософт, соответствуют стандарту FIPS 140-2.

Корпорация Майкрософт сертифицирует базовые криптографические модули, используемые в наших облачных службах, с каждым новым выпуском операционной системы Windows:

  • Azure и Azure для государственных организаций США
  • Dynamics 365 и Dynamics 365 для государственных организаций США
  • Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense

Шифрование неактивных данных клиентов обеспечивается несколькими технологиями на стороне службы, включая BitLocker, DKM, шифрование службы хранилища Azure и шифрование служб в Exchange Online, Skype для бизнеса, OneDrive для бизнеса и SharePoint Online. Office 365 служба шифрования включает возможность использования управляемых клиентом ключей шифрования, хранящихся в Azure Key Vault. Этот параметр ключа, управляемый клиентом, называется Ключ клиента, доступен для Exchange Online, SharePoint Online, Skype для бизнеса и OneDrive для бизнеса.

Для передаваемых данных клиента все серверы Office 365 согласовывают безопасные сеансы с использованием TLS по умолчанию с клиентскими компьютерами для защиты данных клиента. Например, Office 365 согласовывает безопасные сеансы для Skype для бизнеса, Outlook и Outlook в Интернете, мобильных клиентов и веб-браузеров.

(Все серверы, доступные для клиентов, по умолчанию согласовывают tls 1.2.)

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.