加密和密钥管理概述
加密在保护客户内容方面扮演什么角色?
大多数Microsoft业务云服务都是多租户的,这意味着客户内容可能存储在与其他客户相同的物理硬件上。 为了保护客户内容的机密性,Microsoft 联机服务使用一些最强、最安全的加密协议加密所有静态数据和传输中的数据。
加密不能替代强访问控制。 Microsoft的零长期访问 (ZSA) 访问控制策略可保护客户内容免受Microsoft员工未经授权的访问。 加密通过保护存储在任何位置的客户内容的机密性以及防止内容在Microsoft 联机服务系统之间或在Microsoft 联机服务与客户之间传输时被读取来补充访问控制。
Microsoft 联机服务如何加密静态数据?
Microsoft 联机服务中的所有客户内容都受到一种或多种加密形式的保护。 Microsoft服务器使用 BitLocker 加密卷级别包含客户内容的磁盘驱动器。 如果其他流程或控制措施 ((例如,访问控制或硬件) 的回收)存在失误,则 BitLocker 提供的加密可保护客户内容,从而导致对包含客户内容的磁盘进行未经授权的物理访问。
除了卷级加密外,Microsoft 联机服务在应用程序层使用加密来加密客户内容。 服务加密在强加密保护的基础上提供权限保护和管理功能。 它还允许在 Windows 操作系统与这些操作系统存储或处理的客户数据之间分离。
Microsoft 联机服务如何加密传输中的数据?
Microsoft 联机服务使用强传输协议(例如传输层安全性 (TLS) ),以防止未经授权的方在通过网络移动时窃听客户数据。 传输中的数据示例包括正在传递的邮件、在线会议中发生的对话或在数据中心之间复制的文件。
对于Microsoft 联机服务,每当用户的设备与Microsoft服务器通信,或者Microsoft服务器与其他服务器通信时,数据都被视为“传输中”。
Microsoft 联机服务如何管理用于加密的密钥?
强加密仅与用于加密数据的密钥一样安全。 Microsoft使用自己的安全证书和关联的密钥来加密传输中数据的 TLS 连接。 对于静态数据,受 BitLocker 保护的卷使用完整卷加密密钥进行加密,该加密密钥使用卷主密钥进行加密,而卷主密钥又绑定到服务器中的受信任的平台模块 (TPM) 。 BitLocker 使用符合 FIPS 140-2 的算法来确保加密密钥永远不会以明文形式通过网络进行存储或发送。
服务加密为客户静态数据提供另一层加密,为客户提供两种加密密钥管理选项:Microsoft管理的密钥或客户密钥。 使用Microsoft管理的密钥时,Microsoft 联机服务自动生成并安全地存储用于服务加密的根密钥。
要求控制自己的根加密密钥的客户可以将服务加密与 Microsoft Purview 客户密钥结合使用。 使用客户密钥,客户可以使用本地硬件服务模块 (HSM) 或 Azure 密钥保管库 (AKV) 生成自己的加密密钥。 客户根密钥存储在 AKV 中,可在其中用作加密客户邮箱数据或文件的其中一个密钥链的根。 客户根密钥只能通过Microsoft用于数据加密的联机服务代码间接访问,不能由Microsoft员工直接访问。
相关的外部法规 & 认证
定期审核Microsoft联机服务是否符合外部法规和认证。 有关与加密和密钥管理相关的控制措施的验证,请参阅下表。
Azure 和 Dynamics 365
外部审核 | Section | 最新报告日期 |
---|---|---|
ISO 27001 适用性声明 证书 |
A.10.1:加密控制 A.18.1.5:加密控制 |
2024 年 4 月 8 日 |
ISO 27017 适用性声明 证书 |
A.10.1:加密控制 A.18.1.5:加密控制 |
2024 年 4 月 8 日 |
ISO 27018 适用性声明 证书 |
A.11.6:通过公共数据传输网络传输的 PII 加密 | 2024 年 4 月 8 日 |
SOC 1 SOC 2 SOC 3 |
DS-1:加密证书和密钥的安全存储 DS-2:在传输中对客户数据进行加密 DS-3:传输中加密的 Azure 组件的内部通信 DS-4:加密控制和过程 |
2024 年 8 月 16 日 |
Microsoft 365
外部审核 | Section | 最新报告日期 |
---|---|---|
FedRAMP | SC-8:传输机密性和完整性 SC-13:加密的使用 SC-28:保护静态信息 |
2024 年 8 月 21 日 |
ISO 27001/27017 适用性声明 认证 (27001) 认证 (27017) |
A.10.1:加密控制 A.18.1.5:加密控制 |
2022 年 3 月 |
ISO 27018 适用性声明 证书 |
A.11.6:通过公共数据传输网络传输的 PII 加密 | 2022 年 3 月 |
SOC 2 | CA-44:传输中数据加密 CA-54:静态数据加密 CA-62:客户密钥邮箱加密 CA-63:删除客户密钥数据 CA-64:客户密钥 |
2024 年 1 月 23 日 |
SOC 3 | CUEC-16:客户加密密钥 CUEC-17:客户密钥保管库 CUEC-18:客户密钥轮换 |
2024 年 1 月 23 日 |