Chiffrement pour SharePoint et OneDrive, Microsoft Teams et Exchange
Microsoft 365 est un environnement hautement sécurisé qui offre une protection étendue dans plusieurs couches : sécurité des centres de données physiques, sécurité réseau, sécurité d’accès, sécurité des applications et sécurité des données.
SharePoint et OneDrive
Tous les fichiers clients dans SharePoint sont protégés par des clés uniques par fichier qui sont toujours exclusives à un seul locataire. Les clés sont créées et gérées par le service SharePoint, ou lorsque la clé client est utilisée, créée et gérée par les clients. Lorsqu’un fichier est chargé, le chiffrement est effectué par SharePoint dans le contexte de la demande de chargement, avant d’être envoyé au stockage Azure. Lorsqu’un fichier est téléchargé, SharePoint récupère les données client chiffrées à partir du stockage Azure en fonction de l’identificateur de document unique et déchiffre les données client avant de les envoyer à l’utilisateur. Le stockage Azure n’a pas la possibilité de déchiffrer, ni même d’identifier ou de comprendre les données client. Tous les chiffrements et déchiffrements se produisent dans les mêmes systèmes qui appliquent l’isolation des locataires, qui sont Microsoft Entra ID et SharePoint.
Plusieurs charges de travail dans Microsoft 365 stockent des données dans SharePoint, notamment Microsoft Teams, qui stocke tous les fichiers dans SharePoint, et OneDrive, qui utilise SharePoint pour son stockage. Toutes les données client stockées dans SharePoint sont chiffrées (avec une ou plusieurs clés AES 256 bits) et distribuées dans le centre de données comme suit. (Chaque étape de ce processus de chiffrement est validée FIPS 140-2 De niveau 2. Pour plus d’informations sur la conformité FIPS 140-2, consultez Conformité FIPS 140-2.)
Chaque fichier est divisé en un ou plusieurs blocs, en fonction de la taille du fichier. Chaque bloc est chiffré à l’aide de sa propre clé AES 256 bits unique.
Lorsqu’un fichier est mis à jour, la mise à jour est gérée de la même façon : la modification est divisée en un ou plusieurs blocs, et chaque bloc est chiffré avec une clé unique distincte.
Ces blocs ( fichiers, morceaux de fichiers et deltas de mise à jour) sont stockés sous forme d’objets blob dans le stockage Azure qui sont distribués de manière aléatoire sur plusieurs comptes de stockage Azure.
L’ensemble de clés de chiffrement pour ces blocs de données client est lui-même chiffré.
- Les clés utilisées pour chiffrer les objets blob sont stockées dans la base de données de contenu SharePoint.
- La base de données de contenu est protégée par des contrôles d’accès à la base de données et un chiffrement au repos. Le chiffrement est effectué à l’aide de Transparent Data Encryption (TDE) dans Azure SQL Database. (Azure SQL Database est un service de base de données relationnelle à usage général dans Microsoft Azure qui prend en charge des structures telles que les données relationnelles, JSON, spatiales et XML.) Ces secrets sont au niveau du service pour SharePoint, et non au niveau du locataire. Ces secrets (parfois appelés clés master) sont stockés dans un dépôt sécurisé distinct appelé magasin de clés. TDE assure la sécurité au repos de la base de données active et des sauvegardes de base de données et des journaux des transactions.
- Lorsque les clients fournissent la clé facultative, la clé client est stockée dans Azure Key Vault, et le service utilise la clé pour chiffrer une clé de locataire, qui est utilisée pour chiffrer une clé de site, qui est ensuite utilisée pour chiffrer les clés de niveau fichier. Essentiellement, une nouvelle hiérarchie de clés est introduite lorsque le client fournit une clé.
La carte utilisée pour assembler le fichier est stockée dans la base de données de contenu avec les clés chiffrées, séparément de la clé master nécessaire pour les déchiffrer.
Chaque compte de stockage Azure a ses propres informations d’identification uniques par type d’accès (lecture, écriture, énumération et suppression). Chaque jeu d’informations d’identification est conservé dans le magasin de clés sécurisé et est régulièrement actualisé. Comme décrit ci-dessus, il existe trois types de magasins différents, chacun avec une fonction distincte :
- Les données client sont stockées sous forme d’objets blob chiffrés dans le stockage Azure. La clé de chaque bloc de données client est chiffrée et stockée séparément dans la base de données de contenu. Les données client elles-mêmes ne contiennent aucune idée de la façon dont elles peuvent être déchiffrées.
- La base de données de contenu est une base de données SQL Server. Il contient la carte nécessaire pour localiser et réassembler les objets blob de données client conservés dans le stockage Azure, ainsi que les clés nécessaires pour chiffrer ces objets blob. Toutefois, l’ensemble de clés est lui-même chiffré (comme expliqué ci-dessus) et conservé dans un magasin de clés distinct.
- Le magasin de clés est physiquement distinct de la base de données de contenu et du stockage Azure. Il contient les informations d’identification de chaque conteneur de stockage Azure et la clé master à l’ensemble de clés chiffrées contenues dans la base de données de contenu.
Chacun de ces trois composants de stockage ( le magasin d’objets blob Azure, la base de données de contenu et le magasin de clés) est physiquement distinct. Les informations contenues dans l’un des composants sont inutilisables en elles-mêmes. Sans accès aux trois blocs, il est impossible de récupérer les clés des blocs, de déchiffrer les clés pour les rendre utilisables, d’associer les clés à leurs blocs correspondants, de déchiffrer chaque bloc ou de reconstruire un document à partir de ses blocs constitutifs.
Les certificats BitLocker, qui protègent les volumes de disques physiques sur les machines du centre de données, sont stockés dans un référentiel sécurisé (le magasin de secrets SharePoint) protégé par la clé de la batterie de serveurs.
Les clés TDE qui protègent les clés par objet blob sont stockées dans deux emplacements :
- Le dépôt sécurisé, qui héberge les certificats BitLocker et est protégé par la clé de batterie de serveurs ; Et
- Dans un dépôt sécurisé géré par Azure SQL Database.
Les informations d’identification utilisées pour accéder aux conteneurs de stockage Azure sont également conservées dans le magasin de secrets SharePoint et déléguées à chaque batterie de serveurs SharePoint en fonction des besoins. Ces informations d’identification sont des signatures SAP de stockage Azure, avec des informations d’identification distinctes utilisées pour lire ou écrire des données, et avec une stratégie appliquée pour qu’elles expirent automatiquement tous les 60 jours. Différentes informations d’identification sont utilisées pour lire ou écrire des données (pas les deux) et les batteries de serveurs SharePoint ne sont pas autorisées à énumérer.
Remarque
Pour Office 365 clients du gouvernement des États-Unis, les objets blob de données sont stockés dans le stockage Azure U.S. Government. En outre, l’accès aux clés SharePoint dans Office 365 gouvernement des États-Unis est limité à Office 365 personnel qui ont été sélectionnés spécifiquement. Le personnel des opérations Azure U.S. Government n’a pas accès au magasin de clés SharePoint utilisé pour chiffrer les objets blob de données.
Pour plus d’informations sur le chiffrement des données dans SharePoint et OneDrive, voir Chiffrement des données dans SharePoint et OneDrive.
Éléments de liste dans SharePoint
Les éléments de liste sont des segments plus petits de données client qui sont créés ad hoc ou qui peuvent vivre plus dynamiquement au sein d’un site, par exemple des lignes dans une liste créée par l’utilisateur, des billets individuels dans un blog SharePoint ou des entrées dans une page wiki SharePoint. Les éléments de liste sont stockés dans la base de données de contenu (base de données Azure SQL) et protégés par TDE.
Chiffrement des données lors de leur transport
Dans OneDrive et SharePoint, il existe deux scénarios dans lesquels les données entrent et quittent les centres de données.
- Communication cliente avec le serveur : la communication avec SharePoint et OneDrive sur Internet utilise des connexions TLS.
- Déplacement des données entre les centres de données : la principale raison de déplacer des données entre les centres de données est la géoréplication pour activer la récupération d’urgence. Par exemple, les deltas de stockage d'objets blob et les journaux de transaction SQL Server transitent par ce canal. Bien que ces données soient déjà transmises à l’aide d’un réseau privé, elles sont protégées par un chiffrement de qualité.
Exchange
Exchange utilise BitLocker pour toutes les données de boîte aux lettres, et la configuration BitLocker est décrite dans BitLocker pour le chiffrement. Le chiffrement au niveau du service chiffre toutes les données de boîte aux lettres au niveau de la boîte aux lettres.
En plus du chiffrement de service, Microsoft 365 prend en charge la clé client, qui repose sur le chiffrement de service. La clé client est une option de clé gérée par Microsoft pour le chiffrement du service Exchange qui figure également dans la feuille de route de Microsoft. Cette méthode de chiffrement offre une protection accrue non offerte par BitLocker, car elle assure la séparation des administrateurs de serveur et des clés de chiffrement nécessaires au déchiffrement des données, et parce que le chiffrement est appliqué directement aux données (contrairement à BitLocker, qui applique le chiffrement au volume de disque logique), toutes les données client copiées à partir d’un serveur Exchange restent chiffrées.
L’étendue du chiffrement du service Exchange est les données client stockées au repos dans Exchange.
Microsoft Teams
Teams utilise TLS et MTLS pour chiffrer les messages instantanés. Tout le trafic de serveur à serveur nécessite MTLS, que le trafic soit limité au réseau interne ou qu’il traverse le périmètre du réseau interne.
Ce tableau récapitule les protocoles utilisés par Teams.
| Type de trafic | Chiffré par |
|---|---|
| Serveur à serveur | MTLS |
| Client à serveur (par exemple, messagerie instantanée et présence) | TLS |
| Flux multimédias (par exemple, partage audio et vidéo de médias) | TLS |
| Partage audio et vidéo de médias | SRTP/TLS |
| Signalisation | TLS |
Chiffrement des données multimédias
Le trafic multimédia est chiffré à l’aide du protocole SRTP (Secure RTP), un profil du protocole RTP (Real-Time Transport Protocol). SRTP utilise une clé de session générée à l’aide d’un générateur de nombres aléatoires sécurisé et est échangé à l’aide du canal TLS de signalisation. Le trafic multimédia client à client est négocié par le biais d’une signalisation de connexion client à serveur, mais il est chiffré à l’aide de SRTP lors de l’accès client à client directement.
Teams utilise un jeton basé sur les informations d’identification pour sécuriser l’accès aux relais multimédias sur TURN. Les relais multimédias échangent le jeton sur un canal sécurisé TLS.
FIPS
Teams utilise des algorithmes compatibles FIPS (Federal Information Processing Standard) pour les échanges de clés de chiffrement. Pour plus d’informations sur l’implémentation de FIPS, consultez La publication 140-2 de la Norme FIPS (Federal Information Processing Standard).