Panoramica sulla crittografia e sulla gestione delle chiavi
Quale ruolo svolge la crittografia nella protezione del contenuto dei clienti?
La maggior parte dei servizi cloud aziendali Microsoft è multi-tenant, il che significa che il contenuto del cliente può essere archiviato nello stesso hardware fisico di altri clienti. Per proteggere la riservatezza dei contenuti dei clienti, Microsoft Servizi online crittografare tutti i dati inattivi e in transito con alcuni dei protocolli di crittografia più sicuri e sicuri disponibili.
La crittografia non sostituisce i controlli di accesso sicuri. I criteri di controllo di accesso di Microsoft di Zero Standing Access (ZSA) proteggono i contenuti dei clienti dall'accesso non autorizzato da parte dei dipendenti Microsoft. La crittografia integra il controllo di accesso proteggendo la riservatezza dei contenuti dei clienti ovunque siano archiviati e impedendo la lettura del contenuto durante il transito tra i sistemi microsoft Servizi online o tra Microsoft Servizi online e il cliente.
In che modo Microsoft Servizi online crittografare i dati inattivi?
Tutto il contenuto del cliente in Microsoft Servizi online è protetto da una o più forme di crittografia. I server Microsoft usano BitLocker per crittografare le unità disco contenenti contenuto del cliente a livello di volume. La crittografia fornita da BitLocker protegge il contenuto dei clienti in caso di errori in altri processi o controlli (ad esempio, il controllo di accesso o il riciclo dell'hardware) che potrebbero causare l'accesso fisico non autorizzato ai dischi contenenti contenuto del cliente.
Oltre alla crittografia a livello di volume, Microsoft Servizi online usare la crittografia a livello di applicazione per crittografare il contenuto dei clienti. La crittografia dei servizi offre funzionalità di protezione e gestione dei diritti oltre a una protezione avanzata della crittografia. Consente anche la separazione tra i sistemi operativi Windows e i dati dei clienti archiviati o elaborati da tali sistemi operativi.
In che modo Microsoft Servizi online crittografare i dati in transito?
Microsoft Servizi online usare protocolli di trasporto sicuri, ad esempio Transport Layer Security (TLS), per impedire a parti non autorizzate di intercettare i dati dei clienti mentre si sposta su una rete. Esempi di dati in transito includono messaggi di posta elettronica in corso di recapito, conversazioni che si svolgono in una riunione online o file replicati tra data center.
Per Microsoft Servizi online, i dati vengono considerati "in transito" ogni volta che il dispositivo di un utente comunica con un server Microsoft o un server Microsoft comunica con un altro server.
In che modo Microsoft Servizi online gestire le chiavi usate per la crittografia?
La crittografia avanzata è sicura solo quanto le chiavi usate per crittografare i dati. Microsoft usa i propri certificati di sicurezza e le chiavi associate per crittografare le connessioni TLS per i dati in transito. Per i dati inattivi, i volumi protetti da BitLocker vengono crittografati con una chiave di crittografia del volume completa, crittografata con una chiave master del volume, che a sua volta è associata al TPM (Trusted Platform Module) nel server. BitLocker usa algoritmi conformi a FIPS 140-2 per garantire che le chiavi di crittografia non vengano mai archiviate o inviate in modalità non crittografata.
La crittografia del servizio offre un altro livello di crittografia per i dati inattivi dei clienti, offrendo ai clienti due opzioni per la gestione delle chiavi di crittografia: chiavi gestite da Microsoft o Chiave cliente. Quando si usano chiavi gestite da Microsoft, Microsoft Servizi online generare e archiviare automaticamente le chiavi radice usate per la crittografia del servizio.
I clienti con i requisiti per controllare le proprie chiavi di crittografia radice possono usare la crittografia del servizio con la chiave del cliente Microsoft Purview. Usando la chiave del cliente, i clienti possono generare le proprie chiavi di crittografia usando un modulo HSM (Hardware Service Module) locale o Azure Key Vault (AKV). Le chiavi radice del cliente vengono archiviate in AKV, dove possono essere usate come radice di uno dei keychain che crittografano i dati o i file delle cassette postali dei clienti. Le chiavi radice del cliente possono essere accessibili solo indirettamente dal codice del servizio online Microsoft per la crittografia dei dati e non sono accessibili direttamente dai dipendenti Microsoft.
Normative esterne correlate & certificazioni
I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli relativi alla crittografia e alla gestione delle chiavi, vedere la tabella seguente.
Azure e Dynamics 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
|
ISO 27001 Dichiarazione di applicabilità Certificato |
A.10.1: Controlli crittografici A.18.1.5: Controlli crittografici |
8 aprile 2024 |
|
ISO 27017 Dichiarazione di applicabilità Certificato |
A.10.1: Controlli crittografici A.18.1.5: Controlli crittografici |
8 aprile 2024 |
|
ISO 27018 Dichiarazione di applicabilità Certificato |
A.11.6: Crittografia delle informazioni personali trasmesse su reti pubbliche di trasmissione dati | 8 aprile 2024 |
|
SOC 1 SOC 2 SOC 3 |
DS-1: archiviazione sicura di certificati e chiavi di crittografia DS-2: i dati dei clienti sono crittografati in transito DS-3: comunicazione interna dei componenti di Azure crittografati in transito DS-4: controlli e procedure di crittografia |
16 agosto 2024 |
Microsoft 365
| Controlli esterni | Sezione | Data report più recente |
|---|---|---|
| FedRAMP | SC-8: Riservatezza e integrità della trasmissione SC-13: Uso della crittografia SC-28: Protezione delle informazioni inattivi |
21 agosto 2024 |
|
ISO 27001/27017 Dichiarazione di applicabilità Certificazione (27001) Certificazione (27017) |
A.10.1: Controlli crittografici A.18.1.5: Controlli crittografici |
Marzo 2022 |
|
ISO 27018 Dichiarazione di applicabilità Certificato |
A.11.6: Crittografia delle informazioni personali trasmesse su reti pubbliche di trasmissione dati | Marzo 2022 |
| SOC 2 | CA-44: Crittografia dei dati in transito CA-54: Crittografia dei dati inattivi CA-62: Crittografia della cassetta postale chiave cliente CA-63: Eliminazione dei dati della chiave del cliente CA-64: Chiave cliente |
23 gennaio 2024 |
| SOC 3 | CUEC-16: chiavi di crittografia del cliente CUEC-17: Insieme di credenziali delle chiavi del cliente CUEC-18: Rotazione della chiave del cliente |
23 gennaio 2024 |