เกี่ยวกับการเข้ารหัสลับข้อมูล

หมายเหตุ

ศูนย์จัดการ Power Platform ใหม่และได้รับการปรับปรุง อยู่ในพรีวิวสำหรับสาธารณะแล้ว เราออกแบบศูนย์การจัดการใหม่ให้ใช้งานง่ายขึ้นด้วยการนำทางที่มุ่งเน้นงานที่ช่วยให้คุณบรรลุผลลัพธ์ที่เฉพาะเจาะจงได้เร็วขึ้น เราจะเผยแพร่คู่มือใหม่และที่อัปเดตเมื่อศูนย์จัดการ Power Platform ใหม่ย้ายไปยัง ความพร้อมใช้งานทั่วไป

ข้อมูลเป็นทรัพย์สินที่มีค่าที่สุดขององค์กรและไม่สามารถถูกแทนที่ได้ และการเข้ารหัสทำหน้าที่เป็นแนวป้องกันสุดท้ายและแข็งแกร่งที่สุดในกลยุทธ์การรักษาความปลอดภัยของข้อมูลแบบหลายชั้น บริการและผลิตภัณฑ์ระบบคลาวด์สำหรับธุรกิจของ Microsoft ใช้การเข้ารหัสเพื่อปกป้องข้อมูลลูกค้า และช่วยให้คุณคงการควบคุมไว้ได้

การคุ้มครองข้อมูลส่วนบุคคลขณะเก็บ

การเข้ารหัสข้อมูลของคุณทำให้บุคคลที่ไม่ได้รับอนุญาตไม่สามารถอ่านได้ แม้ว่าพวกเขาจะเจาะผ่านไฟร์วอลล์ของคุณ แทรกซึมเครือข่ายของคุณ เข้าถึงอุปกรณ์ทางกายภาพของคุณ หรือเลี่ยงการอนุญาตบนเครื่องในพื้นที่ของคุณ การเข้ารหัสจะแปลงข้อมูลเพื่อให้เฉพาะผู้ที่มีคีย์ถอดรหัสเท่านั้นที่สามารถเข้าถึงได้

Dynamics 365 ใช้ที่เก็บข้อมูลที่แตกต่างกัน (Dataverse) เพื่อเก็บข้อมูล ข้อมูลถูกกระจายไปตามประเภทการจัดเก็บข้อมูลที่แตกต่างกัน:

• ฐานข้อมูล Azure SQL สำหรับข้อมูลเชิงสัมพันธ์
• ที่เก็บข้อมูล Azure Blob สำหรับข้อมูลไบนารี เช่น รูปภาพและเอกสาร
• Azure Search สำหรับการสร้างดัชนีการค้นหา
• Azure Cosmos DB สำหรับการตรวจสอบข้อมูล
• Azure Data Lake สำหรับการวิเคราะห์

โดยค่าเริ่มต้น Microsoft จะเก็บและจัดการคีย์การเข้ารหัสลับของฐานข้อมูลสำหรับสภาพแวดล้อมของคุณโดยใช้คีย์ที่ Microsoft จัดการ อย่างไรก็ตาม Power Platform มีคีย์การเข้ารหัสลับที่จัดการโดยลูกค้า (CMK) เพื่อเพิ่มการควบคุมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งคุณสามารถจัดการคีย์การเข้ารหัสลับของฐานข้อมูลด้วยตนเองได้ คีย์การเข้ารหัสลับอยู่ใน Azure Key Vault ของคุณเอง ซึ่งช่วยให้คุณสามารถหมุนเวียนหรือสลับคีย์การเข้ารหัสลับได้ตามต้องการ นอกจากนี้ยังช่วยให้คุณสามารถป้องกันไม่ให้ Microsoft เข้าถึงข้อมูลลูกค้าของคุณเมื่อคุณยกเลิกการเข้าถึงบริการของเราเมื่อใดก็ได้

ผู้ดูแลระบบสามารถจัดเตรียมคีย์การเข้ารหัสของตนเองโดยใช้ฮาร์ดแวร์ตัวสร้างคีย์ (HSM) ของตนเอง หรือใช้ Azure Key Vault เพื่อสร้างคีย์การเข้ารหัสลับ คุณลักษณะการจัดการคีย์ช่วยลดความซับซ้อนของการจัดการคีย์การเข้ารหัส โดยใช้ Azure Key Vault เพื่อจัดเก็บคีย์การเข้ารหัสอย่างปลอดภัย Azure Key Vault ช่วยปกป้องคีย์การเข้ารหัสและข้อมูลลับที่ใช้โดยแอปพลิเคชันและบริการระบบคลาวด์ คีย์การเข้ารหัสต้องเป็นไปตามข้อกำหนด Azure Key Vault ต่อไปนี้:

• คีย์ RSA 2048 บิต หรือ 4096 บิต
• HSM BYOK
• Azure Key Vault Managed HSM

ผู้ดูแลระบบยังสามารถเปลี่ยนคีย์การเข้ารหัสกลับเป็นคีย์ที่ได้รับการจัดการของ Microsoft ได้ตลอดเวลา

การคุ้มครองข้อมูลส่วนบุคคลในระหว่างส่งต่อ

Azure ปกป้องข้อมูลระหว่างการส่งผ่านไปยังหรือจากส่วนประกอบภายนอก เช่นเดียวกับข้อมูลที่ส่งภายใน เช่น ระหว่างเครือข่ายเสมือนสองเครือข่าย Azure ใช้โปรโตคอลการขนส่งมาตรฐานอุตสาหกรรม เช่น TLS ระหว่างอุปกรณ์ของผู้ใช้ และศูนย์ข้อมูลของ Microsoft และภายในศูนย์ข้อมูลเอง เพื่อปกป้องข้อมูลของคุณมากยิ่งขึ้น การสื่อสารภายในระหว่างบริการต่างๆ ของ Microsoft จึงใช้เครือข่ายแกนหลักของ Microsoft ดังนั้นจึงไม่เปิดเผยต่ออินเทอร์เน็ตสาธารณะ

Microsoft ใช้วิธีการเข้ารหัส โปรโตคอล และอัลกอริธึมที่หลากหลายในผลิตภัณฑ์และบริการต่างๆ เพื่อช่วยจัดเตรียมเส้นทางที่ปลอดภัยสำหรับข้อมูลที่จะเดินทางผ่านโครงสร้างพื้นฐาน และเพื่อช่วยปกป้องความลับของข้อมูลที่จัดเก็บไว้ในโครงสร้างพื้นฐาน Microsoft ใช้โปรโตคอลการเข้ารหัสที่รัดกุมและปลอดภัยที่สุดบางส่วนในอุตสาหกรรม เพื่อเป็นอุปสรรคต่อการเข้าถึงข้อมูลของคุณโดยไม่ได้รับอนุญาต การจัดการคีย์ที่เหมาะสมเป็นองค์ประกอบสำคัญในแนวทางปฏิบัติที่ดีที่สุดในการเข้ารหัส และ Microsoft ช่วยให้แน่ใจว่าคีย์การเข้ารหัสได้รับการรักษาความปลอดภัยอย่างเหมาะสม

ตัวอย่างโปรโตคอลและเทคโนโลยี ได้แก่:

• Transport Layer Security/Secure Sockets Layer (TLS/SSL) ซึ่งใช้การเข้ารหัสแบบสมมาตรตามความลับที่ใช้ร่วมกัน เพื่อเข้ารหัสการสื่อสารขณะเดินทางผ่านเครือข่าย
• Internet Protocol Security (IPsec) ซึ่งเป็นชุดโปรโตคอลมาตรฐานอุตสาหกรรมที่ใช้เพื่อรับรองความถูกต้อง ความสมบูรณ์ และการรักษาความลับของข้อมูลที่ระดับแพ็กเก็ต IP เมื่อมีการถ่ายโอนผ่านเครือข่าย
• Advanced Encryption Standard (AES)-256 ซึ่งเป็นข้อกำหนดของ National Institute of Standards and Technology (NIST) สำหรับการเข้ารหัสข้อมูลคีย์แบบสมมาตรที่รัฐบาลสหรัฐฯ นำมาใช้เพื่อแทนที่ Data Encryption Standard (DES) และเทคโนโลยีการเข้ารหัสคีย์สาธารณะ RSA 2048