Риски шифрования и средства защиты
Корпорация Майкрософт использует платформу контроля и соответствия требованиям, которая фокусируется на рисках для службы Microsoft 365 и данных клиентов. Корпорация Майкрософт реализует большой набор технологий и методов на основе процессов (называемых элементами управления), чтобы снизить эти риски. Выявление, оценка и устранение рисков с помощью элементов управления — это непрерывный процесс.
Реализация элементов управления на различных уровнях облачных служб, таких как объекты, сеть, серверы, приложения, пользователи (например, администраторы Майкрософт) и данные, формирует стратегию глубокой защиты. Ключ к этой стратегии заключается в том, что на разных уровнях реализовано множество различных элементов управления для защиты от одинаковых или схожих сценариев риска. Этот многоуровневый подход обеспечивает отказоустойчивую защиту в случае сбоя элемента управления по какой-либо причине.
Ниже перечислены некоторые сценарии риска и доступные в настоящее время технологии шифрования, которые устраняют их. Эти сценарии во многих случаях также устраняются с помощью других элементов управления, реализованных в Office 365.
| Технология шифрования | Службы | Управление ключами | Сценарий риска | Значение |
|---|---|---|---|---|
| BitLocker | Exchange Online, SharePoint Online и Skype для бизнеса | Корпорация Майкрософт | Диски или серверы украдены или неправильно переработаны. | BitLocker обеспечивает отказоустойчивый подход для защиты от потери данных из-за украденного или неправильно переработанного оборудования (сервера или диска). |
| Шифрование службы | SharePoint Online, Skype для бизнеса и OneDrive для бизнеса; Exchange Online | Корпорация Майкрософт | Внутренний или внешний хакер пытается получить доступ к отдельным файлам или данным в виде BLOB-объекта. | Зашифрованные данные невозможно расшифровать без доступа к ключам. Помогает снизить риск доступа злоумышленника к данным. |
| Ключ клиента | SharePoint Online, OneDrive для бизнеса, Exchange Online и Skype для бизнеса | Клиент | Н/Д (эта функция разработана как функция соответствия требованиям, а не как устранение каких-либо рисков.) | Помогает клиентам выполнять внутренние обязательства по регулированию и соответствию, а также возможность покинуть службу и отозвать доступ корпорации Майкрософт к данным. |
| TLS между Microsoft 365 и клиентами | Exchange Online, SharePoint Online, OneDrive для бизнеса, Skype для бизнеса, Teams и Viva Engage | Корпорация Майкрософт, клиент | Злоумышленник в середине или другая атака для доступа к потоку данных между Microsoft 365 и клиентскими компьютерами через Интернет. | Эта реализация обеспечивает ценность как для корпорации Майкрософт, так и для клиентов, а также обеспечивает целостность данных по мере ее перемещения между Microsoft 365 и клиентом. |
| TLS между центрами обработки данных Майкрософт | Exchange Online, SharePoint Online, OneDrive для бизнеса и Skype для бизнеса | Корпорация Майкрософт | Злоумышленник в середине или другая атака для доступа к потоку данных клиента между серверами Microsoft 365, расположенными в разных центрах обработки данных Майкрософт. | Эта реализация является еще одним методом защиты данных от атак между центрами обработки данных Майкрософт. |
| Azure Rights Management (входит в Microsoft 365 или Azure Information Protection) | Exchange Online, SharePoint Online и OneDrive для бизнеса | Клиент | Данные попадают в руки человека, который не должен иметь доступа к данным. | Azure Information Protection использует Azure RMS, который обеспечивает ценность для клиентов с помощью политик шифрования, удостоверений и авторизации для защиты файлов и электронной почты на нескольких устройствах. Azure RMS обеспечивает ценность для клиентов, когда все сообщения электронной почты, поступающие из Microsoft 365, которые соответствуют определенным критериям (т. е. все сообщения на определенный адрес), могут быть автоматически зашифрованы перед отправкой другому получателю. |
| S/MIME; | Exchange Online. | Клиент | Email попадает в руки человека, который не является предполагаемым получателем. | S/MIME обеспечивает ценность для клиентов, гарантируя, что электронная почта, зашифрованная с помощью S/MIME, может быть расшифрована только прямым получателем сообщения. |
| Шифрование сообщений Office 365 | Exchange Online, SharePoint Online | Клиент | Email, включая защищенные вложения, попадают в руки пользователя в Microsoft 365 или за ее пределами, который не является предполагаемым получателем сообщения электронной почты. | OME обеспечивает ценность для клиентов, когда все сообщения электронной почты, поступающие из Microsoft 365, которые соответствуют определенным критериям (т. е. все сообщения на определенный адрес), автоматически шифруются перед отправкой другому внутреннему или внешнему получателю. |
| ПРОТОКОЛ SMTP TLS с партнерской организацией | Exchange Online. | Клиент | Email перехватывается с помощью злоумышленника или другой атаки при передаче из клиента Microsoft 365 в другую организацию-партнера. | Этот сценарий обеспечивает ценность для клиента, так что он может отправлять и получать все сообщения электронной почты между клиентом Microsoft 365 и организацией электронной почты своего партнера в зашифрованном канале SMTP. |
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Технологии шифрования, доступные в мультитенантных средах
| Технология шифрования | Реализовано | Алгоритм и сила обмена ключами | Управление ключами* | Проверка FIPS 140-2 |
|---|---|---|---|---|
| BitLocker | Exchange Online. | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе и в реестре сервера Exchange Server. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да |
| SharePoint Online | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да | |
| Skype для бизнеса | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да | |
| Шифрование службы | SharePoint Online | AES 256-разрядная версия | Ключи, используемые для шифрования больших двоичных объектов, хранятся в базе данных контента SharePoint Online. База данных контента SharePoint Online защищена средствами управления доступом к базе данных и шифрованием неактивных данных. Шифрование выполняется с помощью TDE в базе данных Azure SQL. Эти секреты находятся на уровне службы Для SharePoint Online, а не на уровне клиента. Эти секреты (иногда называемые ключами master) хранятся в отдельном безопасном репозитории, называемом хранилищем ключей. TDE обеспечивает безопасность неактивных баз данных и резервных копий базы данных, а также журналов транзакций. Когда клиенты предоставляют необязательный ключ, ключ клиента хранится в azure Key Vault, а служба использует его для шифрования ключа клиента, который используется для шифрования ключа сайта, который затем используется для шифрования ключей на уровне файлов. По сути, новая иерархия ключей вводится, когда клиент предоставляет ключ. | Да |
| Skype для бизнеса | AES 256-разрядная версия | Каждый фрагмент данных шифруется с помощью другого случайно созданного 256-разрядного ключа. Ключ шифрования хранится в соответствующем XML-файле метаданных, который также шифруется master ключом для каждой конференции. Ключ master также создается случайным образом для каждой конференции. | Да | |
| Exchange Online. | AES 256-разрядная версия | Каждый почтовый ящик шифруется с помощью политики шифрования данных, которая использует ключи шифрования, контролируемые корпорацией Майкрософт или клиентом (при использовании ключа клиента). | Да | |
| TLS между Microsoft 365 и клиентами и партнерами | Exchange Online. | Оппортунистический ПРОТОКОЛ TLS, поддерживающий несколько наборов шифров | Сертификат TLS для Exchange Online (outlook.office.com) — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. Корневой сертификат TLS для Exchange Online — это 2048-разрядный сертификат SHA1RSA, выданный Root Baltimore CyberTrust. |
Да, если используется TLS 1.2 с 256-разрядным шифром |
| SharePoint Online | TLS 1.2 с AES 256 Шифрование данных в OneDrive для бизнеса и SharePoint Online |
Сертификат TLS для SharePoint Online (*.sharepoint.com) — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. Корневой сертификат TLS для SharePoint Online — это 2048-разрядный сертификат SHA1RSA, выданный baltimore CyberTrust Root. |
Да | |
| Skype для бизнеса | ПРОТОКОЛ TLS для сеансов обмена данными SIP и сеансов совместного использования данных PSOM | Сертификат TLS для Skype для бизнеса (*.lync.com) — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. Корневой сертификат TLS для Skype для бизнеса — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. |
Да | |
| Microsoft Teams | TLS 1.2 с AES 256 Часто задаваемые вопросы о Microsoft Teams — справка по Администратор |
Сертификат TLS для Microsoft Teams (teams.microsoft.com, edge.skype.com) — это 2048-разрядный сертификат SHA256RSA, выданный Baltimore CyberTrust Root. Корневой сертификат TLS для Microsoft Teams — это 2048-разрядный сертификат SHA256RSA, выданный Baltimore CyberTrust Root. |
Да | |
| TLS между центрами обработки данных Майкрософт | Все службы Microsoft 365 | TLS 1.2 с AES 256 Безопасный транспортный протокол в реальном времени (SRTP) |
Корпорация Майкрософт использует внутренне управляемый и развернутый центр сертификации для обмена данными между серверами между центрами обработки данных Майкрософт. | Да |
| Azure Rights Management (входит в Microsoft 365 или Azure Information Protection) | Exchange Online. | Поддерживает режим шифрования 2, обновленную и расширенную реализацию шифрования RMS. Он поддерживает RSA 2048 для подписи и шифрования и SHA-256 для хэша в сигнатуре. | Управляется корпорацией Майкрософт. | Да |
| SharePoint Online | Поддерживает режим шифрования 2, обновленную и расширенную реализацию шифрования RMS. Он поддерживает RSA 2048 для подписи и шифрования и SHA-256 для подписи. | Управляется корпорацией Майкрософт, которая является параметром по умолчанию; Или Управляемый клиентом, который является альтернативой ключам, управляемым Корпорацией Майкрософт. Организации, у которых есть управляемая ИТ-службами подписка Azure, могут использовать BYOK и регистрируют ее использование без дополнительной платы. Дополнительные сведения см. в разделе Реализация приведения собственного ключа. В этой конфигурации для защиты ключей используются модули HSM nCipher. |
Да | |
| S/MIME; | Exchange Online. | Стандарт синтаксиса криптографических сообщений 1.5 (PKCS 7) | Зависит от развернутой инфраструктуры открытых ключей, управляемой клиентом. Управление ключами осуществляется клиентом, и корпорация Майкрософт никогда не имеет доступа к закрытым ключам, используемым для подписывания и расшифровки. | Да, если настроено шифрование исходящих сообщений с помощью 3DES или AES256 |
| Шифрование сообщений Office 365 | Exchange Online. | Аналогично Azure RMS (режим шифрования 2 — RSA 2048 для подписи и шифрования и SHA-256 для подписи) | Использует azure Information Protection в качестве инфраструктуры шифрования. Выбор используемого метода шифрования зависит от того, где получены ключи RMS для шифрования и расшифровки сообщений. | Да |
| ПРОТОКОЛ SMTP TLS с партнерской организацией | Exchange Online. | TLS 1.2 с AES 256 | Сертификат TLS для Exchange Online (outlook.office.com) — это 2048-разрядный сертификат SHA-256 с сертификатом шифрования RSA, выданным DigiCert Облачные службы CA-1. Корневой сертификат TLS для Exchange Online — это 2048-разрядная версия SHA-1 с сертификатом шифрования RSA, выданным корневым ЦС GlobalSign — R1. Имейте в виду, что по соображениям безопасности наши сертификаты время от времени меняются. |
Да, если используется TLS 1.2 с 256-разрядным шифром |
*Сертификаты TLS, указанные в этой таблице, предназначены для центров обработки данных в США; Центры обработки данных, отличные от США, также используют 2048-разрядные сертификаты SHA256RSA.
Технологии шифрования, доступные в облачных средах сообщества государственных организаций
| Технология шифрования | Реализовано | Алгоритм и сила обмена ключами | Управление ключами* | Проверка FIPS 140-2 |
|---|---|---|---|---|
| BitLocker | Exchange Online. | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе и в реестре сервера Exchange Server. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да |
| SharePoint Online | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да | |
| Skype для бизнеса | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да | |
| Шифрование службы | SharePoint Online | AES 256-разрядная версия | Ключи, используемые для шифрования больших двоичных объектов, хранятся в базе данных контента SharePoint Online. Базы данных контента SharePoint Online защищены средствами управления доступом к базам данных и шифрованием неактивных данных. Шифрование выполняется с помощью TDE в базе данных Azure SQL. Эти секреты находятся на уровне службы Для SharePoint Online, а не на уровне клиента. Эти секреты (иногда называемые ключами master) хранятся в отдельном безопасном репозитории, называемом хранилищем ключей. TDE обеспечивает безопасность неактивных баз данных и резервных копий базы данных, а также журналов транзакций. Когда клиенты предоставляют необязательный ключ, ключ клиента хранится в Azure Key Vault, а служба использует ключ для шифрования ключа клиента, который используется для шифрования ключа сайта, который затем используется для шифрования ключей на уровне файлов. По сути, новая иерархия ключей вводится, когда клиент предоставляет ключ. | Да |
| Skype для бизнеса | AES 256-разрядная версия | Каждый фрагмент данных шифруется с помощью другого случайно созданного 256-разрядного ключа. Ключ шифрования хранится в соответствующем XML-файле метаданных, который также шифруется master ключом для каждой конференции. Ключ master также создается случайным образом для каждой конференции. | Да | |
| Exchange Online. | AES 256-разрядная версия | Каждый почтовый ящик шифруется с помощью политики шифрования данных, которая использует ключи шифрования, контролируемые корпорацией Майкрософт или клиентом (при использовании ключа клиента). | Да | |
| TLS между Microsoft 365 и клиентами и партнерами | Exchange Online. | Оппортунистический ПРОТОКОЛ TLS, поддерживающий несколько наборов шифров | Сертификат TLS для Exchange Online (outlook.office.com) — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. Корневой сертификат TLS для Exchange Online — это 2048-разрядный сертификат SHA1RSA, выданный Root Baltimore CyberTrust. |
Да, если используется TLS 1.2 с 256-разрядным шифром |
| SharePoint Online | TLS 1.2 с AES 256 | Сертификат TLS для SharePoint Online (*.sharepoint.com) — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. Корневой сертификат TLS для SharePoint Online — это 2048-разрядный сертификат SHA1RSA, выданный baltimore CyberTrust Root. |
Да | |
| Skype для бизнеса | ПРОТОКОЛ TLS для сеансов обмена данными SIP и сеансов совместного использования данных PSOM | Сертификат TLS для Skype для бизнеса (*.lync.com) — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. Корневой сертификат TLS для Skype для бизнеса — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. |
Да | |
| Microsoft Teams | Часто задаваемые вопросы о Microsoft Teams — справка по Администратор | Сертификат TLS для Microsoft Teams (teams.microsoft.com; edge.skype.com) — это 2048-разрядный сертификат SHA256RSA, выданный Baltimore CyberTrust Root. Корневой сертификат TLS для Microsoft Teams — это 2048-разрядный сертификат SHA256RSA, выданный Baltimore CyberTrust Root. |
Да | |
| TLS между центрами обработки данных Майкрософт | Exchange Online, SharePoint Online Skype для бизнеса | TLS 1.2 с AES 256 | Корпорация Майкрософт использует внутренне управляемый и развернутый центр сертификации для обмена данными между серверами между центрами обработки данных Майкрософт. | Да |
| Безопасный транспортный протокол в реальном времени (SRTP) | ||||
| Служба Azure Rights Management | Exchange Online. | Поддерживает режим шифрования 2, обновленную и расширенную реализацию шифрования RMS. Он поддерживает RSA 2048 для подписи и шифрования и SHA-256 для хэша в сигнатуре. | Управляется корпорацией Майкрософт. | Да |
| SharePoint Online | Поддерживает режим шифрования 2, обновленную и расширенную реализацию шифрования RMS. Он поддерживает RSA 2048 для подписи и шифрования и SHA-256 для хэша в сигнатуре. | Управляется корпорацией Майкрософт, которая является параметром по умолчанию; Или Управляемый клиентом (также известный как BYOK), который является альтернативой ключам, управляемым Корпорацией Майкрософт. Организации, у которых есть управляемая ИТ-службами подписка Azure, могут использовать BYOK и регистрируют ее использование без дополнительной платы. Дополнительные сведения см. в разделе Реализация приведения собственного ключа. В сценарии BYOK для защиты ключей используются модули HSM nCipher. |
Да | |
| S/MIME; | Exchange Online. | Стандарт синтаксиса криптографических сообщений 1.5 (PKCS 7) | Зависит от развернутой инфраструктуры открытых ключей. | Да, если настроено шифрование исходящих сообщений с помощью 3DES или AES-256. |
| Шифрование сообщений Office 365 | Exchange Online. | Аналогично Azure RMS (режим шифрования 2 — RSA 2048 для подписи и шифрования и SHA-256 для хэша в сигнатуре) | Использует Azure RMS в качестве инфраструктуры шифрования. Выбор используемого метода шифрования зависит от того, где получены ключи RMS для шифрования и расшифровки сообщений. Если вы используете Microsoft Azure RMS для получения ключей, используется режим шифрования 2. Если для получения ключей используются службы Active Directory (AD) RMS, применяется криптографический режим 1 или 2. Использование этого метода зависит от локального развертывания AD RMS. Криптографический режим 1 является исходной системой шифрования AD RMS. Он поддерживает RSA 1024 для подписи и шифрования и поддерживает SHA-1 для подписи. Этот режим по-прежнему поддерживается всеми текущими версиями RMS, за исключением конфигураций BYOK, использующих модули HSM. |
Да |
| ПРОТОКОЛ SMTP TLS с партнерской организацией | Exchange Online. | TLS 1.2 с AES 256 | Сертификат TLS для Exchange Online (outlook.office.com) — это 2048-разрядный сертификат SHA-256 с сертификатом шифрования RSA, выданным DigiCert Облачные службы CA-1. Корневой сертификат TLS для Exchange Online — это 2048-разрядная версия SHA-1 с сертификатом шифрования RSA, выданным корневым ЦС GlobalSign — R1. Имейте в виду, что по соображениям безопасности наши сертификаты время от времени меняются. |
Да, если используется TLS 1.2 с 256-разрядным шифром |
*Сертификаты TLS, указанные в этой таблице, предназначены для центров обработки данных в США; Центры обработки данных, отличные от США, также используют 2048-разрядные сертификаты SHA256RSA.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по