了解客户密钥的可用性密钥

  • 项目

可用性密钥是在创建数据加密策略时自动生成和预配的根密钥。 Microsoft 365 存储和保护可用性密钥。 可用性密钥在功能上类似于为客户密钥提供的两个根密钥。 可用性密钥将密钥包装在密钥层次结构中低一层的密钥。 与在 Azure 密钥保管库 中提供和管理的密钥不同,无法直接访问可用性密钥。 Microsoft 365 自动化服务以编程方式管理可用性密钥。 这些服务启动从不涉及对可用性密钥的直接访问的自动化操作。

可用性密钥的主要用途是从你管理的根密钥意外丢失中提供恢复功能。 丢失可能是管理不力或恶意操作的结果。 如果失去对根密钥的控制,请联系 Microsoft 支持部门 以获取有关使用可用性密钥恢复过程的帮助。 使用可用性密钥迁移到具有预配的新根密钥的新数据加密策略。

可用性密钥的存储和控制故意不同于 Azure 密钥保管库密钥,原因有三:

  • 如果失去对 Azure 密钥保管库密钥的控制,则可用性密钥提供恢复“中断”功能。
  • 逻辑控制和安全存储位置的分离提供深层防御,并防止丢失所有密钥和数据,免受单个攻击或故障点的影响。
  • 如果 Microsoft 365 服务由于暂时性错误而无法访问 Azure 密钥保管库中托管的密钥,则可用性密钥提供高可用性功能。 此规则仅适用于Exchange Online服务加密。 除非明确指示 Microsoft 启动恢复过程,否则 Microsoft SharePoint、Microsoft OneDrive 和 Teams 文件永远不会使用可用性密钥。

共同承担使用密钥管理的各种保护和流程来保护数据的责任最终可降低所有密钥 (因此数据) 永久丢失或销毁的风险。 当你离开服务时,Microsoft 提供你对禁用或销毁可用性密钥的唯一授权。 根据设计,Microsoft 没有人有权访问可用性密钥:只有 Microsoft 365 服务代码才能访问该密钥。

有关如何保护密钥的详细信息,请访问 Microsoft 信任中心

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

Windows 365对 Microsoft Purview 客户密钥的支持以公共预览版提供,随时可能更改。

可用性密钥使用

对于外部恶意因素或恶意内部成员窃取密钥保管库的控制权,或者无意中管理不当导致根密钥丢失的情况,可用性密钥提供恢复功能。 此恢复功能适用于与客户密钥兼容的所有 Microsoft 365 服务。 各个服务以不同的方式使用可用性密钥。 Microsoft 365 仅按照后续部分中所述的方式使用可用性密钥。

Exchange Online

除了恢复功能,Exchange Online还使用可用性密钥来确保与访问根密钥的服务相关的暂时性或间歇性操作问题期间的数据可用性。 当服务由于暂时性错误而无法访问 Azure 密钥保管库中的任何一个客户密钥时,该服务会自动使用可用性密钥。 服务从不直接转到可用性密钥。

Exchange Online 中的自动化系统可能会在暂时性错误期间使用可用性密钥。 可用性密钥的使用支持防病毒、电子发现、Microsoft Purview 数据丢失防护、邮箱移动和数据索引等自动化后端服务。

SharePoint、OneDrive 和 Teams 文件使用

对于 SharePoint、OneDrive 和 Teams 文件,可用性密钥永远不会在恢复功能之外使用。 必须显式指示 Microsoft 在恢复方案中使用可用性密钥。 自动化服务操作仅依赖于 Azure Key Vault 中的客户密钥。 有关密钥层次结构如何适用于这些服务的深入信息,请参阅 SharePoint、OneDrive 和 Teams 文件如何使用可用性密钥

可用性密钥安全性

Microsoft 通过实例化可用性密钥并采取大量措施来保护它,与你分担数据保护的责任。 Microsoft 不会向客户公开可用性密钥的直接控制。 例如,只能在 Azure 密钥保管库中拥有的密钥) 滚动 (轮换。 有关详细信息,请参阅 滚动或轮换客户密钥或可用性密钥

可用性密钥机密存储

Microsoft 保护访问控制的内部机密存储(例如面向客户的 Azure 密钥保管库)中的可用性密钥。 我们实施访问控制以防止 Microsoft 管理员直接访问其中包含的机密。 机密存储操作(包括密钥轮换和删除)通过自动化命令进行,这些命令从不涉及对可用性密钥的直接访问。 机密存储管理操作仅限于特定的工程师,并且需要通过内部工具“密码箱”提升权限。 特权提升要求在授予权限之前获得经理的批准和理由。 密码箱确保在时间到期或工程师注销时自动吊销访问权限具有时间限制。

Exchange Online可用性密钥存储在 Exchange Online Active Directory 机密存储中。 可用性密钥安全地存储在Active Directory 域控制器中特定于租户的容器中。 此安全存储位置独立于 SharePoint、OneDrive 和 Teams 文件机密存储。

SharePoint、OneDrive 和 Teams 文件 可用性密钥存储在由服务团队管理的内部机密存储中。 此受保护的机密存储服务将前端服务器与应用程序终结点和SQL 数据库作为后端。 可用性密钥存储在 SQL 数据库中。 机密存储加密密钥包装 () 可用性密钥进行加密。 机密存储密钥结合使用 AES-256 和 HMAC 来加密静态可用性密钥。 机密存储加密密钥存储在同一SQL 数据库的逻辑隔离组件中,并使用 Microsoft 证书颁发机构 (CA) 管理的证书中包含的 RSA-2048 密钥进一步加密。 这些证书存储在对数据库执行操作的机密存储前端服务器中。

深层防御

Microsoft 采用深层防御策略,以防止恶意参与者影响 Microsoft 云中存储的客户数据的机密性、完整性或可用性。 实施特定的预防和检测控制,以保护机密存储和可用性密钥作为总体安全策略的一部分。

Microsoft 365 旨在防止滥用可用性密钥。 应用程序层是可使用包括可用性密钥在内的密钥来加密和解密数据的唯一方法。 只有 Microsoft 365 服务代码能够解释和遍历加密和解密活动的密钥层次结构。 客户密钥、可用性密钥、其他分层密钥和客户数据的存储位置之间存在逻辑隔离。 这种隔离可降低一个或多个位置泄露时数据泄露的风险。 层次结构中的每个层都有内置的全天候入侵检测功能,以保护存储的数据和机密。

实施访问控制以防止对内部系统(包括可用性密钥机密存储)进行未经授权的访问。 Microsoft 工程师没有对可用性密钥机密存储的直接访问权限。 有关访问控制的更多详细信息,请查看 Microsoft 365 中的管理访问控制

技术控制可防止 Microsoft 人员登录到高特权服务帐户,攻击者可能会使用这些帐户来模拟 Microsoft 服务。 例如,这些控件会阻止交互式登录。

安全日志记录和监视控制是实施的另一种深层防御措施,可降低 Microsoft 服务和数据的风险。 Microsoft 服务团队部署生成警报和审核日志的活动监视解决方案。 所有服务团队将其日志上传到聚合和处理日志的中央存储库。 内部工具会自动检查记录,以确认服务是否处于最佳、可复原和安全的状态。 异常活动被标记为进一步审查。

任何指示可能违反 Microsoft 安全策略的日志事件都会立即引起 Microsoft 安全团队的注意。 Microsoft 365 安全性已配置警报,以检测尝试访问可用性密钥机密存储。 如果 Microsoft 人员尝试以交互方式登录到服务帐户,则还会生成警报,这些帐户受到访问控制的禁止和保护。 Microsoft 365 安全性还会检测 Microsoft 365 服务与正常基线操作的偏差并发出警报。 试图滥用 Microsoft 365 服务的恶意因素会触发警报,导致罪犯从 Microsoft 云环境中逐出。

使用可用性密钥从密钥丢失中恢复

如果失去对客户密钥的控制,可用性密钥可让你恢复和重新加密数据。

Exchange Online的恢复过程

如果失去对客户密钥的控制,可用性密钥使你能够恢复数据,并使受影响的 Microsoft 365 资源重新联机。 恢复时,可用性密钥将继续保护数据。 概括而言,若要从密钥丢失中完全恢复,请创建新的 DEP 并将受影响的资源移动到新策略。

若要使用新的客户密钥加密数据,请在 Azure 密钥保管库 中创建新密钥,使用新的客户密钥创建新的 DEP,然后将新的 DEP 分配给当前使用以前的 DEP 加密的邮箱,这些邮箱的密钥丢失或泄露。

此重新加密过程最长可能需要 72 小时,并且是更改 DEP 时的标准持续时间。

SharePoint、OneDrive 和 Teams 文件的恢复过程

对于 SharePoint、OneDrive 和 Teams 文件,可用性密钥永远不会在恢复功能之外使用。 你必须明确指示 Microsoft 在恢复方案中启动可用性密钥的使用。 若要启动恢复过程,请联系 Microsoft 以激活可用性密钥。 激活后,可用性密钥会自动用于解密数据,以便使用与新客户密钥关联的新创建的 DEP 加密数据。

此操作与组织中的站点数成正比。 致电 Microsoft 以使用可用性密钥后,应在大约四小时内完全联机。

Exchange Online如何使用可用性密钥

使用客户密钥创建 DEP 时,Microsoft 365 会生成与该 DEP 关联的数据加密密钥 (DEP 密钥) 。 该服务对 DEP 密钥进行三次加密:一次用于每个客户密钥,一次使用可用性密钥。 仅存储 DEP 密钥的加密版本,并且只能使用客户密钥或可用性密钥解密 DEP 密钥。 然后,DEP 密钥用于加密邮箱密钥,从而加密各个邮箱。

当客户使用服务时,Microsoft 365 遵循此过程来解密和提供数据:

  1. 使用客户密钥解密 DEP 密钥。

  2. 使用解密的 DEP 密钥解密邮箱密钥。

  3. 使用解密的邮箱密钥解密邮箱本身,以便访问邮箱中的数据。

SharePoint、OneDrive 和 Teams 文件如何使用可用性密钥

客户密钥和可用性密钥的 SharePoint 和 OneDrive 体系结构和实现不同于Exchange Online。

当组织移动到客户管理的密钥时,Microsoft 365 会创建特定于组织的中间密钥 (TIK) 。 Microsoft 365 使用每个客户密钥加密 TIK 两次,并存储 TIK 的两个加密版本。 仅存储 TIK 的加密版本,而 TIK 只能使用客户密钥进行解密。 然后,TIK 用于加密站点密钥,这些密钥随后用于加密 blob 密钥 (也称为文件区块密钥) 。 根据文件大小,服务可能会将文件拆分为多个文件块,每个区块都有唯一键。 blob (文件区块本身) 使用 Blob 密钥进行加密,并存储在 Microsoft Azure Blob 存储服务中。

当客户使用该服务时,Microsoft 365 遵循此过程来解密和提供客户文件:

  1. 使用客户密钥解密 TIK。

  2. 使用解密的 TIK 解密站点密钥。

  3. 使用解密的站点密钥解密 Blob 密钥。

  4. 使用解密的 Blob 密钥解密 Blob。

Microsoft 365 通过向 Azure 密钥保管库发出两个解密请求(略有偏移)来解密 TIK。 完成的第一个请求会提供结果,取消另一个请求。

如果你无法访问密钥,Microsoft 365 还会使用可用性密钥加密 TIK,并将此信息与使用每个客户密钥加密的 TIK 一起存储。 仅当你恶意或意外地失去对密钥的访问权限时,才使用使用可用性密钥加密的 TIK 来登记恢复路径。

出于可用性和规模原因,解密的 TIK 缓存在限时内存缓存中。 在 TIK 缓存设置为过期前两小时,Microsoft 365 会尝试解密每个 TIK。 解密 TIK 可延长缓存的生存期。 如果 TIK 解密在相当长的时间内失败,Microsoft 365 会生成警报,以在缓存过期之前通知工程人员。 仅当你调用时,Microsoft 365 才会启动恢复操作,这涉及到使用 Microsoft 机密存储中存储的可用性密钥解密 TIK,并使用解密的 TIK 和一组新的客户提供的 Azure 密钥保管库密钥重新加入租户。

截至目前,客户密钥涉及存储在 Azure Blob 存储中的 SharePoint 文件数据的加密和解密链,但不包括存储在SQL 数据库中的 SharePoint 列表项或元数据。 Microsoft 365 不会对Exchange Online、SharePoint、OneDrive 和 Teams 文件使用可用性密钥,但所述案例是由客户发起的。 对客户数据的人工访问受客户密码箱保护。

可用性键触发器

Microsoft 365 仅在特定情况下触发可用性密钥。 这些情况因服务而异。

Exchange Online的触发器

  1. Microsoft 365 读取分配邮箱的 DEP,以确定两个客户密钥在 Azure 密钥保管库中的位置。

  2. Microsoft 365 从 DEP 随机选择两个客户密钥之一,并向 Azure 密钥保管库发送请求,以使用客户密钥解包 DEP 密钥。

  3. 如果使用客户密钥解包 DEP 密钥的请求失败,Microsoft 365 会向 Azure 密钥保管库发送第二个请求,这次指示它使用备用 (秒) 客户密钥。

  4. 如果使用客户密钥解包 DEP 密钥的第二个请求失败,Microsoft 365 会检查这两个请求的结果。

    • 如果检查确定请求失败,返回系统错误:

      • Microsoft 365 触发可用性密钥来解密 DEP 密钥。

      • 然后,Microsoft 365 使用 DEP 密钥解密邮箱密钥并完成用户请求。

      • 在这种情况下,Azure 密钥保管库因暂时性错误而无法响应或无法访问。

    • 如果检查确定请求返回 ACCESS 拒绝失败:

      • 此返回意味着已采取故意、无意或恶意操作来使客户密钥 (不可用,例如,在数据清除过程中,服务) 。

      • 在这种情况下,可用性密钥仅适用于系统操作,而不适用于用户操作,用户请求会失败,并且用户会收到错误消息。

重要

Microsoft 365 服务代码始终具有有效的登录令牌,用于对客户数据进行推理,以提供增值云服务。 因此,在删除可用性密钥之前,它可用作Exchange Online(如创建搜索索引或移动邮箱)发起的操作或内部操作的回退。 这适用于对 Azure 密钥保管库的暂时性错误和访问拒绝请求。

SharePoint、OneDrive 和 Teams 文件的触发器

对于 SharePoint、OneDrive 和 Teams 文件,可用性密钥永远不会在恢复功能之外使用,客户必须明确指示 Microsoft 在恢复方案中启动可用性密钥的使用。

审核日志和可用性密钥

Microsoft 365 中的自动化系统在流经系统时处理所有数据,以提供云服务,例如防病毒、电子发现、数据丢失防护和数据索引。 Microsoft 365 不会为此活动生成客户可见的日志。 此外,Microsoft 人员不会在这些正常系统操作中访问你的数据。

Exchange Online可用性密钥日志记录

当Exchange Online访问可用性密钥以提供服务时,Microsoft 365 会发布可从安全性和合规性门户访问的客户可见日志。 每次服务使用可用性密钥时,都会生成可用性密钥操作的审核日志记录。 活动类型为“回退到可用性密钥”的新记录类型“客户密钥服务加密”允许管理员筛选 统一审核日志 搜索结果以查看可用性密钥记录。

日志记录包括日期、时间、活动、组织 ID 和数据加密策略 ID 等属性。 该记录作为统一审核日志的一部分提供,可从“Microsoft Purview 合规门户审核日志搜索”选项卡访问。

可用性密钥事件的审核日志搜索

Exchange Online可用性密钥记录使用 Microsoft 365 管理活动通用架构,并添加了自定义参数:策略 ID、范围密钥版本 ID 和请求 ID。

可用性密钥自定义参数

SharePoint、OneDrive 和 Teams 文件可用性密钥日志记录

可用性密钥日志记录尚不可用于这些服务。 对于 SharePoint、OneDrive 和 Teams 文件,Microsoft 仅根据你的指示激活可用性密钥以进行恢复。 因此,你已经知道可用性密钥用于这些服务的每个事件。

客户密钥层次结构中的可用性密钥

Microsoft 365 使用可用性密钥包装为客户密钥服务加密建立的密钥层次结构中较低的密钥层。 服务之间存在不同的键层次结构。 每个适用服务的层次结构中,可用性密钥和其他密钥之间的密钥算法也有所不同。 不同服务使用的可用性密钥算法如下所示:

  • Exchange Online可用性密钥使用 AES-256。

  • SharePoint、OneDrive 和 Teams 文件可用性密钥使用 RSA-2048。

用于加密Exchange Online密钥的加密密码

客户密钥中Exchange Online的加密密码

用于加密 SharePoint 密钥的加密密码

客户密钥中 SharePoint 的加密密码