加密和金鑰管理概觀
加密在保護客戶內容時扮演什麼角色?
大部分Microsoft商務雲端服務都是多租使用者,這表示客戶內容可能會儲存在與其他客戶相同的實體硬體上。 為了保護客戶內容的機密性,Microsoft在線服務會使用一些最強大且最安全的可用加密通訊協定來加密所有待用和傳輸中的數據。
加密無法替代強式訪問控制。 Microsoft零常設存取 (ZSA) 的訪問控制原則可保護客戶內容免於Microsoft員工未經授權的存取。 加密可藉由保護客戶內容儲存位置的機密性,以及防止內容在Microsoft在線服務系統之間或Microsoft在線服務與客戶之間傳輸時遭到讀取,來補充訪問控制。
Microsoft在線服務如何加密待用數據?
Microsoft在線服務中的所有客戶內容都會受到一或多種加密形式的保護。 Microsoft伺服器會使用 BitLocker 來加密磁碟驅動器,其中包含磁碟區層級的客戶內容。 BitLocker 所提供的加密會在其他程式或控件發生失效時保護客戶內容 (,例如,訪問控制或回收硬體) ,而可能導致未經授權的實體存取包含客戶內容的磁碟。
除了磁碟區層級加密之外,Microsoft在線服務也會在應用層使用加密來加密客戶內容。 服務加密除了強式加密保護之外,還提供版權保護和管理功能。 它也允許在 Windows 作業系統與這些作業系統所儲存或處理的客戶資料之間進行分隔。
Microsoft在線服務如何加密傳輸中的數據?
Microsoft在線服務會使用強大的傳輸通訊協定,例如傳輸層安全性 (TLS) ,以防止未經授權的一方在透過網路移動時,對客戶數據進行竊聽。 傳輸中數據的範例包括正在傳遞的郵件訊息、在線會議中進行的交談,或在數據中心之間復寫的檔案。
針對Microsoft在線服務,每當用戶的裝置與Microsoft伺服器通訊,或Microsoft伺服器與其他伺服器通訊時,數據就會被視為「傳輸中」。
Microsoft在線服務如何管理用於加密的金鑰?
強式加密僅與用來加密數據的金鑰一樣安全。 Microsoft使用自己的安全性憑證和相關聯的密鑰來加密傳輸中數據的 TLS 連線。 針對待用數據,受 BitLocker 保護的磁碟區會使用完整磁碟區加密密鑰進行加密,該密鑰會使用磁碟區主要金鑰加密,進而系結至伺服器中的受信任平臺模組 (TPM) 。 BitLocker 會使用符合 FIPS 140-2 規範的演算法,確保加密密鑰永遠不會以清楚的方式透過網路儲存或傳送。
服務加密為客戶待用數據提供另一層加密,為客戶提供兩個加密密鑰管理選項:Microsoft管理的密鑰或客戶金鑰。 使用Microsoft管理的密鑰時,Microsoft在線服務會自動產生並安全地儲存用於服務加密的根密鑰。
具有控制自己根加密金鑰需求的客戶可以搭配使用服務加密Microsoft Purview 客戶密鑰。 客戶可以使用客戶金鑰,使用內部部署硬體服務模組 (HSM) 或 Azure Key Vault (AKV) 來產生自己的密碼編譯密鑰。 客戶根金鑰會儲存在 AKV 中,可作為其中一個金鑰鏈的根目錄,以加密客戶信箱資料或檔案。 客戶根密鑰只能透過Microsoft在線服務程式代碼間接存取以進行數據加密,且無法由Microsoft員工直接存取。
相關外部法規 & 認證
Microsoft的在線服務會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與加密和金鑰管理相關的控制件。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27001 適用性聲明 認證 |
A.10.1:密碼編譯控件 A.18.1.5:密碼編譯控件 |
2024年4月8日 |
| ISO 27017 適用性聲明 認證 |
A.10.1:密碼編譯控件 A.18.1.5:密碼編譯控件 |
2024年4月8日 |
| ISO 27018 適用性聲明 認證 |
A.11.6:透過公用數據傳輸網路傳輸的 PII 加密 | 2024年4月8日 |
| SOC 1 SOC 2 SOC 3 |
DS-1:安全儲存密碼編譯憑證和密鑰 DS-2:客戶數據會在傳輸中加密 DS-3:傳輸中加密的 Azure 元件內部通訊 DS-4:密碼編譯控件和程式 |
2024 年 5 月 20 日 |
Microsoft 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP (Office 365) | SC-8:傳輸機密性和完整性 SC-13:使用密碼編譯 SC-28:保護待用資訊 |
2023年7月31日 |
| ISO 27001/27017 適用性聲明 認證 (27001) 認證 (27017) |
A.10.1:密碼編譯控件 A.18.1.5:密碼編譯控件 |
2022 年 3 月 |
| ISO 27018 適用性聲明 認證 |
A.11.6:透過公用數據傳輸網路傳輸的 PII 加密 | 2022 年 3 月 |
| SOC 2 | CA-44:傳輸中數據加密 CA-54:待用數據加密 CA-62:客戶金鑰信箱加密 CA-63:客戶金鑰數據刪除 CA-64:客戶密鑰 |
2024年1月23日 |
| SOC 3 | CUEC-16:客戶加密金鑰 CUEC-17:客戶金鑰保存庫 CUEC-18:客戶密鑰輪替 |
2024年1月23日 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應