BitLocker e Distributed Key Manager (DKM) per la crittografia

I server Microsoft usano BitLocker per crittografare le unità disco contenenti dati dei clienti inattivi a livello di volume. La crittografia BitLocker è una funzionalità di protezione dei dati integrata in Windows. BitLocker è una delle tecnologie usate per proteggersi dalle minacce in caso di errori in altri processi o controlli (ad esempio, controllo di accesso o riciclo dell'hardware) che potrebbero portare qualcuno a ottenere l'accesso fisico ai dischi contenenti dati dei clienti. In questo caso, BitLocker elimina il potenziale rischio di furto o esposizione di dati a causa di computer e dischi smarriti, rubati o dismessi in modo inappropriato.

BitLocker viene distribuito con crittografia AES (Advanced Encryption Standard) a 256 bit su dischi contenenti dati dei clienti in Exchange Online, SharePoint Online e Skype for Business. I settori disco vengono crittografati con una chiave FVEK (Full Volume Encryption Key), crittografata con la chiave master del volume (VMK), che a sua volta è associata al modulo TPM (Trusted Platform Module) nel server. La VMK protegge direttamente FVEK e pertanto la protezione della VMK diventa fondamentale. La figura seguente illustra un esempio della catena di protezione delle chiavi BitLocker per un determinato server (in questo caso, usando un server Exchange Online).

Nella tabella seguente viene descritta la catena di protezione delle chiavi BitLocker per un determinato server ,in questo caso un server Exchange Online.

PROTEZIONE CHIAVE GRANULARITÀ COME VIENE GENERATO? DOVE VIENE ARCHIVIATO? PROTEZIONE
Chiave esterna AES a 256 bit Per Server API BitLocker TPM o Secret Safe Lockbox/Controllo di accesso
Registro cassette postali del server TPM crittografato
Password numerica a 48 cifre Per disco API BitLocker Active Directory Lockbox/Controllo di accesso
Certificato X.509 come agente di recupero dati (DRA, Data Recovery Agent) denominato anche protezione a chiave pubblica Ambiente (ad esempio, Exchange Online multi-tenant) Microsoft CA Sistema di compilazione Nessun utente ha la password completa per la chiave privata. La password è sotto protezione fisica.

La gestione delle chiavi bitLocker prevede la gestione delle chiavi di ripristino usate per sbloccare/ripristinare i dischi crittografati in un data center Microsoft. Microsoft 365 memorizza le chiavi master in una condivisione protetta, accessibile solo agli utenti selezionati e approvati. Le credenziali per le chiavi vengono archiviate in un repository protetto per i dati di controllo di accesso (cosiddetto "archivio segreto"), che richiede un livello elevato di approvazioni di elevazione e gestione per l'accesso tramite uno strumento di elevazione dell'accesso JUST-in-time.

BitLocker supporta le chiavi che rientrano in due categorie di gestione:

  • Chiavi gestite da BitLocker, di breve durata e associate alla durata di un'istanza del sistema operativo installata in un server o in un determinato disco. Queste chiavi vengono eliminate e reimpostate durante la reinstallazione del server o la formattazione del disco.

  • Chiavi di ripristino di BitLocker, gestite all'esterno di BitLocker ma usate per la decrittografia del disco. BitLocker usa le chiavi di ripristino nel caso in cui venga reinstallato un sistema operativo e i dischi di dati crittografati siano già esistenti. Le chiavi di ripristino sono anche utilizzate da sonde di monitoraggio della disponibilità gestita in Exchange Online, in cui un risponditore potrebbe dover sbloccare un disco.

I volumi protetti da BitLocker vengono crittografati con una chiave di crittografia del volume completa, che a sua volta viene crittografata con una chiave master del volume. BitLocker usa algoritmi conformi a FIPS per garantire che le chiavi di crittografia non vengano mai archiviate o inviate in modalità non crittografata. L'implementazione di Microsoft 365 della protezione dei dati inattivi dei clienti non si discosta dall'implementazione predefinita di BitLocker.