Om datakryptering

  • Artikel

Data är organisationens mest värdefulla och anpassningsbara tillgång, och kryptering är den sista och kraftfullaste raden i en datasäkerhetsstrategi med flera skikt. Microsofts molntjänster och produkter i affärsverksamheten använder kryptering för att underlätta kunddata och hjälpa dig att behålla kontrollen över dem.

Dataskydd i vila

Om du krypterar din information blir den oläsbar för obehöriga personer, även om de går igenom dina brandväggar, infiltrerar ditt nätverk, får fysisk åtkomst till dina enheter eller kringgår behörigheterna på den lokala datorn. Med kryptering omvandlas data så att bara någon med krypteringsnyckeln kan komma åt den.

Dynamics 365 använder heteroröst lagringsutrymme (Dataverse) för att lagra data. Data distribueras över olika lagringstyper:

  • Azure SQL Database för relationsdata
  • Azure Blob Storage för binärdata, till exempel bilder och dokument
  • Azure Search efter sökindexering
  • Microsoft 365 aktivitetslogg och Azure Cosmos DB för granskningsdata
  • Azure Data Lake för analys

Dataverse-databaser använder SQL TDE (SSD-kryptering, kompatibel med FIPS 140-2) för att tillhandahålla I/O-kryptering i realtid och dekryptering av data och loggfiler för datakryptering i paus. Azure Storage Encryption används för vilande data som lagras i Azure Blob Storage. De är krypterade och dekrypterade och använder 256-bitars AES-kryptering som är kompatibel med FIPS 140-2.

Som standard lagrar och hanterar Microsoft databaskrypteringsnycklarna för dina miljöer med hjälp av en Microsoft-hanterad nyckel. Power Platform tillhandahåller dock en kundhanterad krypteringsnyckel (CMK) för extra dataskyddskontroll, där du själv kan hantera databaskrypteringsnyckeln. Krypteringsnyckeln finns i ditt eget Azure Key Vault gör att du kan använda krypteringsnyckeln på begäran. Det gör också att du kan förhindra Microsofts åtkomst till dina kunddata när du när som helst har nyckelåtkomsten till våra tjänster.

Data i paus och kryptering

Administratörer kan tillhandahålla sin egen krypteringsnyckel med den egna maskinvaran för nycklar (HSM) eller Azure Key Vault för att skapa en krypteringsnyckel. Nyckelhanteringsfunktionen gör krypteringsnyckelns hantering mer komplex genom att använda Azure Key Vault för att lagra krypteringsnycklar på ett säkert sätt. Azure Key Vault hjälper till att bevara kryptografiska nycklar och hemligheter som används av molnprogram och molntjänster. Krypteringsnycklar måste uppfylla följande krav för Azure Key Vault:

Administratörer kan när som helst återställa krypteringsnyckeln till en Microsoft-hanterad nyckel.

Dataskydd under transport

Azure skyddar data i syfte att skydda data till eller från externa komponenter samt data internt, till exempel mellan två virtuella nätverk. Azure använder industristandard transportprotokoll som TLS mellan användarenheter och Microsofts datacenter och i datacenter. För att skydda dina data ännu mer använder Microsofts nätverk för intern kommunikation mellan Microsoft-tjänster och är därför inte synligt för det offentliga Internet.

Microsoft använder flera krypteringsmetoder, protokoll och algoritmer för alla sina produkter och tjänster för att skapa en säker väg för data som ska resa genom infrastruktur och för att skydda sekretessen för data som lagras i infrastrukturen. Microsoft använder några av de säkraste och säkraste krypteringsprotokollen i branschen för att förhindra obehörig åtkomst till dina data. Korrekt nyckelhantering är ett viktigt element i krypteringspraxis och Microsoft hjälper till att säkerställa att krypteringsnycklarna är korrekt skyddade.

Kryptering av data internt

Exempel på protokoll och teknik är:

  • Transport Layer Security/Secure Sockets Layer (TLS/SSL), som använder symmetrisk kryptering baserad på delad kryptering för att kryptera kommunikationer när de reser över nätverket.
  • IPsec (Internet Protocol Security), en branschstandard med protokoll som används för att säkerställa autentisering, integritet och sekretess för data på IP-nivå när de överförs över nätverket.
  • Advanced Encryption Standard (AES)-256, NIST-specifikation (National Encryption of Standards and Technology) för en symmetrisk kryptering med nyckeldata som den amerikanska myndigheter har förser med för att ersätta DES (Data Encryption Standard) och RSA 2048-krypteringsteknik (krypteringsteknik för offentlig nyckel).