可用性密钥是创建数据加密策略时自动生成和预配的根密钥。 Microsoft 365 存储和保护此密钥。
可用性密钥的功能类似于为客户密钥提供的两个根密钥。 它将密钥包装在密钥层次结构中低一层。 与 Azure 密钥保管库 中管理的密钥不同,无法直接访问可用性密钥。 Microsoft 365 自动化服务以编程方式对其进行管理。 这些服务执行自动化作,无需直接访问密钥。
可用性密钥main用途是支持从所管理的根密钥意外丢失中恢复。 这种损失可能是由于管理不力或恶意作造成的。 如果失去对根密钥的控制,请联系 Microsoft 支持部门 以获取有关使用可用性密钥进行恢复的帮助。 使用此密钥迁移到具有预配的新根密钥的新数据加密策略。
可用性密钥与存储和控制中的 Azure 密钥保管库密钥不同,原因有三:
- 如果 Azure 密钥保管库密钥都丢失,它将提供恢复或“中断”选项。
- 逻辑控制和存储位置的分离增加了深层防御,并有助于防止由于单一故障点而完全丢失密钥或数据。
- 如果 Microsoft 365 由于临时错误而无法访问 Azure 密钥保管库,则它支持高可用性。 此方案仅适用于 Exchange 服务加密。 除非显式请求恢复,否则 SharePoint 和 OneDrive 不使用可用性密钥。
Microsoft分担通过分层密钥管理保护和流程保护数据的责任。 此方法可降低永久丢失或销毁所有密钥和数据的风险。 如果退出服务,你拥有禁用或销毁可用性密钥的唯一权限。 根据设计,Microsoft的任何人都无法访问可用性密钥。 只能通过 Microsoft 365 服务代码访问它。
有关Microsoft如何保护密钥的更多详细信息,请参阅 Microsoft信任中心。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
可用性密钥使用
如果外部攻击者或恶意内部成员获得密钥保管库的控制,或者管理不当导致根密钥丢失,则可用性密钥支持恢复。 此恢复功能适用于支持客户密钥的所有 Microsoft 365 服务。
每个服务都以不同的方式使用可用性密钥。 Microsoft 365 仅在以下部分所述的方案中使用可用性密钥。
Exchange
除了支持恢复之外,Exchange 还使用可用性密钥在暂时性或间歇性问题(阻止服务访问 Azure 密钥保管库中的根密钥)期间保持数据访问。 如果服务由于临时错误而无法访问任一客户密钥,则会自动使用该可用性密钥。
服务不会直接访问可用性密钥。 相反,Exchange 中的自动化系统在暂时性故障期间将其用作回退过程的一部分。 此用法支持后端作,例如防病毒扫描、发现、Microsoft Purview 数据丢失防护、邮箱移动和数据索引。
SharePoint 和 OneDrive
对于 SharePoint 和 OneDrive,可用性密钥仅用于恢复方案。 在正常作期间从不使用它。
必须显式请求Microsoft在恢复事件中使用可用性密钥。 自动化服务作仅依赖于 Azure 密钥保管库 中的客户密钥。
有关密钥层次结构以及这些服务如何处理加密的更多详细信息,请参阅 SharePoint 和 OneDrive 如何使用可用性密钥。
可用性密钥安全性
Microsoft通过生成可用性密钥并应用严格的控制来保护数据,从而分担保护数据的责任。
客户没有对可用性密钥的直接访问权限。 例如,只能滚动在 Azure 密钥保管库中管理的密钥。 Microsoft通过自动化服务代码管理可用性密钥,而无需将其公开给用户。
有关详细信息,请参阅 滚动或轮换客户密钥或可用性密钥。
可用性密钥机密存储
Microsoft保护访问控制的内部机密存储中的可用性密钥,类似于 Azure 密钥保管库。 访问控制可防止Microsoft管理员直接检索其中存储的机密。 所有机密存储作(包括密钥轮换和删除)都是通过自动化命令执行的,这些命令不涉及对可用性密钥的直接访问。
这些机密存储中的管理作仅限于特定的工程师,并且需要通过名为“密码箱”的内部工具提升权限。 升级必须由经理批准,并包含有效理由。 密码箱确保访问是有时间限制的,并在时间限制过期或工程师注销时自动撤销。
Exchange 可用性密钥存储在 Exchange Active Directory 机密存储中。 密钥保存在Active Directory 域控制器中特定于租户的容器内。 此存储位置独立于 SharePoint 和 OneDrive 使用的机密存储。
SharePoint 和 OneDrive 可用性密钥存储在由服务团队管理的内部机密存储中。 此存储包括公开应用程序终结点的前端服务器和作为后端的SQL 数据库。 可用性密钥存储在数据库中,并使用机密存储加密密钥进行包装。
这些加密密钥使用 AES-256 和 HMAC 来保护静态可用性密钥。 加密密钥存储在同一数据库的逻辑隔离部分,并使用Microsoft证书颁发机构 (CA) 颁发的 RSA-2048 证书进一步加密。 这些证书存储在前端服务器上,用于处理针对数据库的作。
深层防御
Microsoft使用深层防御策略来帮助防止恶意参与者损害存储在 Microsoft 云中的客户数据的机密性、完整性或可用性。 作为此分层安全方法的一部分,已制定特定的预防和检测控制措施,以保护机密存储和可用性密钥。
Microsoft 365 旨在防止滥用可用性密钥。 应用层是唯一可以使用密钥(包括可用性密钥)进行加密和解密的接口。 只有 Microsoft 365 服务代码可以解释和遍历密钥层次结构。 客户密钥、可用性密钥、其他分层密钥和客户数据的存储位置之间存在逻辑隔离。 如果任何位置遭到入侵,这种分离可降低数据泄露的风险。 密钥层次结构中的每个层都包含连续入侵检测,以保护存储的数据和机密。
访问控制可防止对内部系统(包括可用性密钥机密存储)进行未经授权的访问。 Microsoft工程师无法直接访问这些商店。 有关详细信息,请参阅 Microsoft 365 中的管理访问控制。
技术控制还防止Microsoft人员登录到高特权服务帐户,攻击者可能利用这些帐户来模拟Microsoft服务。 这些控件阻止交互式登录尝试。
安全日志记录和监视是Microsoft的深层防御方法中的其他安全措施。 服务团队部署生成警报和审核日志的监视解决方案。 所有日志都上传到中央存储库,并在其中聚合和分析日志。 内部工具会自动评估这些记录,以确保服务保持安全、可复原并按预期运行。 异常活动已标记为审核。
任何可能违反Microsoft安全策略的事件都上报给Microsoft安全团队。 Microsoft 365 安全警报配置为检测尝试访问可用性密钥机密存储以及未经授权的登录尝试服务帐户。 系统还会检测与预期基线服务行为的偏差。 任何滥用 Microsoft 365 服务的尝试都会触发警报,并可能导致罪犯从 Microsoft 云环境中删除。
使用可用性密钥从密钥丢失中恢复
如果失去对客户密钥的控制,可以使用可用性密钥来恢复和重新加密数据。
Exchange 的恢复过程
如果失去对客户密钥的控制,可以使用可用性密钥来恢复数据,并使受影响的 Microsoft 365 资源重新联机。 可用性密钥在恢复期间继续保护数据。
若要从密钥丢失中完全恢复,请执行以下作:
- 在 Azure 密钥保管库中创建新的客户密钥。
- 使用新密钥 (DEP) 创建新的数据加密策略。
- 将新的 DEP 分配给使用已泄露或丢失的密钥加密的邮箱。
此重新加密过程可能需要长达 72 小时,这是更改 DEP 的标准持续时间。
SharePoint 和 OneDrive 的恢复过程
对于 SharePoint 和 OneDrive,可用性密钥仅在恢复方案中使用。 必须显式要求Microsoft激活可用性密钥。
若要启动恢复过程,请联系 Microsoft 支持部门。 激活后,可用性密钥会自动解密数据,以便你可以使用新创建的数据加密策略 (DEP) 和新客户密钥对其进行加密。
恢复时间取决于组织中的站点数。 大多数客户在请求可用性密钥激活后大约四小时内恢复联机。
Exchange 如何使用可用性密钥
使用客户密钥 (DEP) 创建数据加密策略时,Microsoft 365 会生成与该策略关联的 DEP 密钥。 该服务对 DEP 密钥进行三次加密:使用每个客户密钥加密一次,使用可用性密钥加密一次。 仅存储 DEP 密钥的加密版本。 DEP 密钥只能使用客户密钥或可用性密钥之一进行解密。
DEP 密钥用于加密邮箱密钥,从而加密单个邮箱。
Microsoft 365 使用以下过程来解密并提供对邮箱数据的访问权限:
- 使用客户密钥解密 DEP 密钥。
- 使用解密的 DEP 密钥解密邮箱密钥。
- 使用解密的邮箱密钥解密邮箱并提供对数据的访问权限。
SharePoint 和 OneDrive 如何使用可用性密钥
客户密钥和可用性密钥的 SharePoint 和 OneDrive 体系结构不同于 Exchange。
当组织开始使用客户管理的密钥时,Microsoft 365 会创建组织特定的租户中间密钥 (TIK) 。 Microsoft 365 会加密 TIK 两次(使用每个客户密钥一次),并仅存储加密版本。 TIK 只能使用客户密钥之一进行解密。 然后,TIK 用于加密站点密钥,这些密钥 (也称为文件区块密钥) 加密。 对于较大的文件,服务可能会将它们划分为多个区块,每个区块具有唯一键。 这些文件块(或 Blob)使用 blob 密钥进行加密,并存储在Azure Blob 存储中。
Microsoft 365 使用以下步骤解密客户文件:
- 使用客户密钥解密 TIK。
- 使用解密的 TIK 解密站点密钥。
- 使用解密的站点密钥解密 Blob 密钥。
- 使用解密的 Blob 密钥解密 Blob。
为了提高性能,Microsoft 365 向 Azure 发送两个解密请求,密钥保管库时间略有偏移。 无论哪个请求首先完成,都提供结果;另一个已取消。
如果无法访问客户密钥,Microsoft 365 使用可用性密钥解密 TIK。 Microsoft使用可用性密钥加密每个 TIK,并将此版本与客户密钥加密版本一起存储。 仅当联系 Microsoft 以启动恢复时,才使用可用性密钥。
为了提高规模和可靠性,解密的 TIK 在有限的时间内缓存在内存中。 在缓存的 TIK 过期前大约两小时,Microsoft 365 次尝试再次解密以延长其生存期。 如果此过程反复失败,Microsoft 365 会在缓存过期之前向工程部门发出警报。 如果需要恢复,Microsoft使用可用性密钥解密 TIK,然后使用解密的 TIK 和一组新的客户密钥重新加入租户。
目前,客户密钥加密和解密Azure Blob 存储中的 SharePoint 文件数据,但不加密和解密存储在SQL 数据库中的列表项或元数据。 除非显式请求恢复,否则Microsoft不使用 SharePoint 或 OneDrive 的可用性密钥。 对客户数据的人工访问仍受客户密码箱保护。
可用性键触发器
Microsoft 365 仅在特定情况下触发可用性密钥,这些情况因服务而异。
Exchange 触发器
Microsoft 365 在访问邮箱的客户密钥时遵循此过程:
它读取分配给邮箱 (DEP) 的数据加密策略,以识别存储在 Azure 密钥保管库 中的两个客户密钥。
它会随机选择两个密钥中的一个,并向 Azure 密钥保管库发送取消包装 DEP 密钥的请求。
如果该请求失败,它将使用备用密钥发送第二个请求。
如果两个请求都失败,Microsoft 365 会检查结果,并按以下两种方式之一做出响应:
例如,如果两个请求都失败并出现系统错误 (,则 Azure 密钥保管库不可用或无法响应) :
Microsoft 365 使用可用性密钥解密 DEP 密钥。
然后,它使用 DEP 密钥解密邮箱密钥并满足用户请求。
如果两个请求都失败并出现“拒绝访问”错误, (例如故意删除、意外或恶意删除密钥,包括在数据清除过程中) :
Microsoft 365 不会触发用户作的可用性密钥。
用户请求失败并返回错误消息。
重要
Microsoft 365 服务代码始终维护有效的登录令牌,以处理和推理客户数据,以支持核心云服务。 因此,在可用性密钥被删除之前,内部 Exchange作 ((例如邮箱移动或索引创建) )仍然可以在两个客户密钥都无法访问时使用可用性密钥作为回退,无论失败是由于系统错误还是访问被拒绝响应。
SharePoint 和 OneDrive 的触发器
对于 SharePoint 和 OneDrive,Microsoft 365 永远不会使用可用性密钥,除非你处于恢复方案。 若要启动恢复过程,必须联系Microsoft并显式请求使用可用性密钥。
审核日志和可用性密钥
Microsoft 365 中的自动化系统在流经服务时处理数据。 这些系统支持防病毒、电子数据展示、数据丢失防护和索引等功能。 Microsoft 365 不会生成对此后台活动的客户可见的日志。 此外,Microsoft人员在正常系统作期间无法访问你的数据。
Exchange 可用性密钥日志记录
当 Exchange 访问可用性密钥以提供服务时,Microsoft 365 会创建客户可见的日志。 可以从 Microsoft Purview 门户访问这些日志。 每次服务使用可用性密钥时,都会生成审核日志条目。
此条目使用名为 “客户密钥服务加密 ”的新记录类型,其活动类型为 “回退到可用性密钥”。 这些标签可帮助管理员筛选 统一审核日志 搜索结果,以查找可用性密钥记录。
日志条目包括日期、时间、活动、组织 ID 和数据加密策略 ID。 这些记录是统一审核日志的一部分,显示在 Microsoft Purview 门户的“审核日志搜索”选项卡下。
Exchange 可用性密钥记录遵循 Microsoft 365 管理活动 通用架构。 它们还包括自定义参数:策略 ID、范围密钥版本 ID 和请求 ID。
SharePoint 和 OneDrive 可用性密钥日志记录
可用性密钥日志记录尚不可用于 SharePoint 或 OneDrive。 Microsoft仅在请求可用性密钥时激活可用性密钥以进行恢复。 因此,当可用性密钥用于这些服务时,你已经知道每个事件。
客户密钥层次结构中的可用性密钥
Microsoft 365 使用可用性密钥在客户密钥加密层次结构中包装其下方的密钥层。 每个服务都有一个不同的密钥层次结构。 键算法在层次结构中的可用性键和其他键之间也有所不同。
每个服务使用的可用性密钥算法包括:
- Exchange 可用性密钥使用 AES-256。
- SharePoint 和 OneDrive 可用性密钥使用 RSA-2048。
用于加密 Exchange 密钥的加密密码
用于加密 SharePoint 密钥的加密密码
