Giới thiệu về mã hóa dữ liệu

Dữ liệu là tài sản có giá trị nhất và không thể thay thế của tổ chức. Mã hóa đóng vai trò là tuyến bảo vệ cuối cùng và mạnh mẽ nhất trong chiến lược bảo mật dữ liệu nhiều lớp. Các sản phẩm và dịch vụ đám mây dành cho doanh nghiệp của Microsoft sử dụng tính năng mã hóa để bảo vệ dữ liệu của khách hàng và giúp bạn duy trì quyền kiểm soát đối với dữ liệu đó.

Bảo vệ dữ liệu tĩnh

Việc mã hóa thông tin khiến những người không được ủy quyền không thể đọc được thông tin đó, ngay cả khi họ vượt qua tường lửa, xâm nhập mạng, truy cập vật lý vào thiết bị hoặc bỏ qua các quyền trên máy cục bộ của bạn. Tính năng mã hóa biến đổi dữ liệu để chỉ người có khóa giải mã mới truy cập được dữ liệu đó.

Dynamics 365 sử dụng bộ lưu trữ không đồng nhất (Dataverse) để lưu trữ dữ liệu. Dữ liệu được phân bổ trên các loại bộ nhớ khác nhau:

• Cơ sở dữ liệu Azure SQL cho dữ liệu quan hệ
• Bộ nhớ Azure Blob cho dữ liệu nhị phân, chẳng hạn như hình ảnh và tài liệu
• Azure Search cho hoạt động lập chỉ mục tìm kiếm
• Azure Cosmos DB cho dữ liệu kiểm toán
• Azure Data Lake để phân tích

Theo mặc định, Microsoft lưu trữ và quản lý khóa mã hóa cơ sở dữ liệu cho môi trường của bạn bằng khóa do Microsoft quản lý. Tuy nhiên, Power Platform cung cấp khóa mã hóa do khách hàng quản lý (CMK) để tăng cường kiểm soát bảo vệ dữ liệu, nơi bạn có thể tự quản lý khóa mã hóa cơ sở dữ liệu. Khóa mã hóa nằm trong kho khóa Azure của bạn, cho phép bạn xoay vòng hoặc hoán đổi khóa mã hóa theo yêu cầu. Nó cũng cho phép bạn ngăn chặn Microsoft truy cập vào dữ liệu khách hàng của bạn khi bạn thu hồi quyền truy cập chính vào các dịch vụ của chúng tôi bất kỳ lúc nào.

Người quản trị có thể cung cấp khóa mã hóa của riêng mình bằng phần cứng tạo khóa (HSM) hoặc sử dụng Azure Key Vault để tạo khóa mã hóa. Tính năng quản lý khóa giúp việc quản lý khóa mật mã hóa trở nên đơn giản bằng cách sử dụng Azure Key Vault để lưu trữ an toàn các khóa mật mã hóa. Azure Key Vault giúp bảo vệ các khóa mật mã hóa và thông tin bí mật mà các ứng dụng và dịch vụ đám mây sử dụng. Khóa mật mã hóa phải đáp ứng các yêu cầu sau của Azure Key Vault:

• Khóa RSA 2048 bit hoặc 4096 bit
• HSM BYOK
• Azure Key vault HSM được quản lý

Quản trị viên cũng có thể hoàn nguyên khóa mật mã hóa về khóa do Microsoft quản lý bất kỳ lúc nào.

Bảo vệ dữ liệu đang truyền

Azure bảo vệ dữ liệu đang truyền đến hoặc từ các thành phần bên ngoài, cũng như dữ liệu đang truyền nội bộ, chẳng hạn như giữa hai mạng ảo. Azure sử dụng các giao thức truyền tải tiêu chuẩn công nghiệp như TLS giữa các thiết bị của người dùng và trung tâm dữ liệu của Microsoft cũng như bên trong các trung tâm dữ liệu đó. Để bảo vệ dữ liệu của bạn tốt hơn, liên lạc nội bộ giữa các dịch vụ của Microsoft sẽ sử dụng mạng xương sống của Microsoft và do đó không bị lộ ra Internet công cộng.

Microsoft sử dụng nhiều phương pháp, giao thức và thuật toán mã hóa trong các sản phẩm và dịch vụ của mình để giúp cung cấp đường dẫn an toàn cho dữ liệu truyền qua cơ sở hạ tầng, đồng thời góp phần bảo vệ tính bảo mật của dữ liệu được lưu trữ trong cơ sở hạ tầng. Microsoft sử dụng một số giao thức mã hóa mạnh mẽ, an toàn nhất trong ngành để ngăn hoạt động truy cập trái phép vào dữ liệu của bạn. Quản lý khóa thích hợp là một yếu tố thiết yếu trong các thực tiễn tốt nhất về mã hóa và Microsoft giúp đảm bảo rằng các khóa mật mã hóa được bảo mật đúng cách.

Các ví dụ về giao thức và công nghệ:

• Transport Layer Security/Tầng Khe Bảo mật (TLS/SSL), sử dụng mật mã đối xứng dựa trên bí mật được chia sẻ để mã hóa thông tin liên lạc khi truyền qua mạng.
• Bảo mật giao thức Internet (IPsec), một bộ giao thức theo tiêu chuẩn ngành dùng để cung cấp tính xác thực, tính toàn vẹn và tính bảo mật của dữ liệu ở cấp độ gói IP khi truyền qua mạng.
• Chuẩn mật mã hóa nâng cao (AES)-256, thông số kỹ thuật của Viện Tiêu chuẩn và công nghệ quốc gia (NIST) dành cho việc mã hóa dữ liệu khóa đối xứng đã được cơ quan chính phủ Hoa Kỳ áp dụng để thay thế Chuẩn mật mã hóa dữ liệu (DES) và công nghệ mã hóa khóa công khai RSA 2048.