Información general sobre el cifrado y la administración de claves

¿Qué rol desempeña el cifrado en la protección del contenido del cliente?

La mayoría de los servicios en la nube empresarial de Microsoft son multiinquilino, lo que significa que el contenido del cliente se puede almacenar en el mismo hardware físico que otros clientes. Para proteger la confidencialidad del contenido del cliente, Microsoft servicios en línea cifrar todos los datos en reposo y en tránsito con algunos de los protocolos de cifrado más seguros y seguros disponibles.

El cifrado no sustituye a los controles de acceso seguros. La directiva de control de acceso de Microsoft de Acceso permanente cero (ZSA) protege el contenido del cliente frente al acceso no autorizado por parte de los empleados de Microsoft. El cifrado complementa el control de acceso mediante la protección de la confidencialidad del contenido del cliente dondequiera que esté almacenado y evitando que el contenido se lea mientras está en tránsito entre los sistemas de Microsoft servicios en línea o entre Microsoft servicios en línea y el cliente.

¿Cómo cifra Microsoft servicios en línea datos en reposo?

Todo el contenido del cliente de Microsoft servicios en línea está protegido por una o varias formas de cifrado. Los servidores de Microsoft usan BitLocker para cifrar las unidades de disco que contienen contenido del cliente en el nivel de volumen. El cifrado proporcionado por BitLocker protege el contenido del cliente si hay errores en otros procesos o controles (por ejemplo, control de acceso o reciclaje de hardware) que podrían dar lugar a acceso físico no autorizado a los discos que contienen contenido del cliente.

Además del cifrado de nivel de volumen, Microsoft servicios en línea usar el cifrado en la capa de aplicación para cifrar el contenido del cliente. El cifrado de servicios proporciona características de administración y protección de derechos además de una protección de cifrado segura. También permite la separación entre los sistemas operativos Windows y los datos del cliente almacenados o procesados por esos sistemas operativos.

¿Cómo cifra Microsoft servicios en línea los datos en tránsito?

Microsoft servicios en línea usar protocolos de transporte seguros, como Seguridad de la capa de transporte (TLS), para evitar que las partes no autorizadas espien los datos de los clientes mientras se mueven a través de una red. Algunos ejemplos de datos en tránsito son los mensajes de correo que están en proceso de entrega, las conversaciones que tienen lugar en una reunión en línea o los archivos que se replican entre centros de datos.

Para Microsoft servicios en línea, los datos se consideran "en tránsito" cada vez que el dispositivo de un usuario se comunica con un servidor de Microsoft o un servidor de Microsoft se comunica con otro servidor.

¿Cómo administra Microsoft servicios en línea las claves usadas para el cifrado?

El cifrado seguro solo es tan seguro como las claves que se usan para cifrar los datos. Microsoft usa sus propios certificados de seguridad y claves asociadas para cifrar las conexiones TLS para los datos en tránsito. Para los datos en reposo, los volúmenes protegidos por BitLocker se cifran con una clave de cifrado de volumen completa, que se cifra con una clave maestra de volumen, que a su vez está enlazada al módulo de plataforma segura (TPM) del servidor. BitLocker usa algoritmos compatibles con FIPS 140-2 para asegurarse de que las claves de cifrado nunca se almacenan o envían a través de la conexión sin cifrar.

El cifrado de servicios proporciona otra capa de cifrado para los datos en reposo del cliente, lo que proporciona a los clientes dos opciones para la administración de claves de cifrado: claves administradas por Microsoft o Clave de cliente. Al usar claves administradas por Microsoft, Microsoft servicios en línea generar y almacenar de forma automática y segura las claves raíz usadas para el cifrado del servicio.

Los clientes con requisitos para controlar sus propias claves de cifrado raíz pueden usar el cifrado de servicio con la clave de cliente de Microsoft Purview. Con la clave de cliente, los clientes pueden generar sus propias claves criptográficas mediante un módulo de servicio de hardware (HSM) local o Azure Key Vault (AKV). Las claves raíz del cliente se almacenan en AKV, donde se pueden usar como raíz de una de las cadenas de claves que cifra los archivos o los datos del buzón de cliente. El código de servicio en línea de Microsoft solo puede acceder a las claves raíz del cliente indirectamente para el cifrado de datos y los empleados de Microsoft no pueden acceder directamente a ellas.

Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con el cifrado y la administración de claves.

Azure y Dynamics 365

Auditorías externas Section Fecha del informe más reciente
ISO 27001

Declaración de aplicabilidad
Certificado
A.10.1: Controles criptográficos
A.18.1.5: Controles criptográficos
8 de abril de 2024
ISO 27017

Declaración de aplicabilidad
Certificado
A.10.1: Controles criptográficos
A.18.1.5: Controles criptográficos
8 de abril de 2024
ISO 27018

Declaración de aplicabilidad
Certificado
A.11.6: Cifrado de PII transmitido a través de redes públicas de transmisión de datos 8 de abril de 2024
SOC 1
SOC 2
SOC 3
DS-1: almacenamiento seguro de certificados criptográficos y claves
DS-2: los datos del cliente se cifran en tránsito
DS-3: comunicación interna de componentes de Azure cifrados en tránsito
DS-4: controles y procedimientos criptográficos
16 de agosto de 2024

Microsoft 365

Auditorías externas Section Fecha del informe más reciente
FedRAMP SC-8: Confidencialidad e integridad de la transmisión
SC-13: Uso de criptografía
SC-28: Protección de la información en reposo
21 de agosto de 2024
ISO 27001/27017

Declaración de aplicabilidad
Certificación (27001)
Certificación (27017)
A.10.1: Controles criptográficos
A.18.1.5: Controles criptográficos
Marzo de 2022
ISO 27018

Declaración de aplicabilidad
Certificado
A.11.6: Cifrado de PII transmitido a través de redes públicas de transmisión de datos Marzo de 2022
SOC 2 CA-44: Cifrado de datos en tránsito
CA-54: cifrado de datos en reposo
CA-62: Cifrado de buzón de correo de clave de cliente
CA-63: Eliminación de datos de clave de cliente
CA-64: Clave de cliente
23 de enero de 2024
SOC 3 CUEC-16: Claves de cifrado del cliente
CUEC-17: Almacén de claves del cliente
CUEC-18: Rotación de claves del cliente
23 de enero de 2024