Protezione e rischi della crittografa
Microsoft segue un framework di controllo e conformità incentrato sui rischi per il servizio Microsoft 365 e per i dati dei clienti. Microsoft implementa un ampio set di tecnologie e metodi basati su processi (detti controlli) per mitigare questi rischi. L'identificazione, la valutazione e la mitigazione dei rischi tramite i controlli è un processo continuo.
L'implementazione di controlli all'interno di vari livelli dei servizi cloud, ad esempio strutture, rete, server, applicazioni, utenti (ad esempio amministratori Microsoft) e dati, è una strategia di difesa approfondita. La chiave di questa strategia è che molti controlli diversi vengono implementati a livelli diversi per la protezione dagli stessi scenari di rischio o simili. Questo approccio multilivello offre una protezione non riuscita in caso di errore di un controllo per qualche motivo.
Di seguito sono elencati alcuni scenari di rischio e le tecnologie di crittografia attualmente disponibili che li attenuano. Questi scenari vengono in molti casi attenuati anche tramite altri controlli implementati in Office 365.
| Tecnologia di crittografia | Servizi | Gestione delle chiavi | Scenario di rischio | Valore |
|---|---|---|---|---|
| BitLocker | Exchange Online, SharePoint Online e Skype for Business | Microsoft | I dischi o i server vengono rubati o riciclati in modo non corretto. | BitLocker offre un approccio fail-safe per la protezione dalla perdita di dati dovuta a hardware rubato o riciclato in modo non corretto (server/disco). |
| Crittografia del servizio | SharePoint Online, Skype for Business e OneDrive for Business; Exchange Online | Microsoft | Un hacker interno o esterno tenta di accedere a singoli file/dati come BLOB. | I dati crittografati non possono essere decrittografati senza l'accesso alle chiavi. Consente di attenuare il rischio che un hacker accinga a accedere ai dati. |
| Customer Key | SharePoint Online, OneDrive for Business, Exchange Online e Skype for Business | Cliente | N/D (questa funzionalità è progettata come funzionalità di conformità, non come mitigazione per qualsiasi rischio). | Aiuta i clienti a rispettare gli obblighi di conformità e regolamentazione interni e la possibilità di lasciare il servizio e revocare l'accesso di Microsoft ai dati |
| TLS tra Microsoft 365 e i client | Exchange Online, SharePoint Online, OneDrive for Business, Skype for Business, Teams e Viva Engage | Microsoft, Cliente | Attacco man-in-the-middle o di altro tipo per toccare il flusso di dati tra Microsoft 365 e i computer client su Internet. | Questa implementazione fornisce valore sia a Microsoft che ai clienti e garantisce l'integrità dei dati durante il flusso tra Microsoft 365 e il client. |
| TLS tra data center Microsoft | Exchange Online, SharePoint Online, OneDrive for Business e Skype for Business | Microsoft | Attacco man-in-the-middle o di altro tipo per toccare il flusso di dati dei clienti tra server Microsoft 365 situati in data center Microsoft diversi. | Questa implementazione è un altro metodo per proteggere i dati dagli attacchi tra data center Microsoft. |
| Azure Rights Management (incluso in Microsoft 365 o Azure Information Protection) | Exchange Online, SharePoint Online e OneDrive for Business | Cliente | I dati rientrano nelle mani di una persona che non deve avere accesso ai dati. | Azure Information Protection usa Azure RMS, che offre valore ai clienti usando criteri di crittografia, identità e autorizzazione per proteggere i file e la posta elettronica in più dispositivi. Azure RMS offre valore ai clienti in cui tutti i messaggi di posta elettronica provenienti da Microsoft 365 che corrispondono a determinati criteri (ad esempio, tutti i messaggi di posta elettronica a un determinato indirizzo) possono essere crittografati automaticamente prima di essere inviati a un altro destinatario. |
| S/MIME | Exchange Online | Cliente | Email cade nelle mani di una persona che non è il destinatario previsto. | S/MIME fornisce valore ai clienti assicurando che la posta elettronica crittografata con S/MIME possa essere decrittografata solo dal destinatario diretto del messaggio di posta elettronica. |
| Crittografia dei messaggi di Office 365 | Exchange Online, SharePoint Online | Cliente | Email, inclusi gli allegati protetti, spetta a una persona all'interno o all'esterno di Microsoft 365 che non è il destinatario previsto del messaggio di posta elettronica. | OME fornisce valore ai clienti in cui tutti i messaggi di posta elettronica provenienti da Microsoft 365 che corrispondono a determinati criteri (ad esempio, tutti i messaggi di posta elettronica a un determinato indirizzo) vengono crittografati automaticamente prima di essere inviati a un altro destinatario interno o esterno. |
| SMTP TLS con l'organizzazione partner | Exchange Online | Cliente | Email viene intercettato tramite un attacco man-in-the-middle o di altro tipo durante il transito da un tenant di Microsoft 365 a un'altra organizzazione partner. | Questo scenario offre valore al cliente in modo che possa inviare/ricevere tutti i messaggi di posta elettronica tra il tenant di Microsoft 365 e l'organizzazione di posta elettronica del partner all'interno di un canale SMTP crittografato. |
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Tecnologie di crittografia disponibili in ambienti multi-tenant
| Tecnologia di crittografia | Implementato da | Algoritmo di scambio delle chiavi e forza | Gestione delle chiavi* | CONVALIDATO FIPS 140-2 |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES a 256 bit | La chiave esterna AES viene archiviata in secret safe e nel Registro di sistema del server Exchange. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì |
| SharePoint Online | AES a 256 bit | La chiave esterna AES viene archiviata in secret safe. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì | |
| Skype for Business | AES a 256 bit | La chiave esterna AES viene archiviata in secret safe. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì | |
| Crittografia del servizio | SharePoint Online | AES a 256 bit | Le chiavi usate per crittografare i BLOB vengono archiviate nel database del contenuto di SharePoint Online. Il database del contenuto di SharePoint Online è protetto dai controlli di accesso al database e dalla crittografia inattivi. La crittografia viene eseguita usando TDE nel database Azure SQL. Questi segreti sono a livello di servizio per SharePoint Online, non a livello di tenant. Questi segreti (a volte definiti chiavi master) vengono archiviati in un repository protetto separato denominato Archivio chiavi. TDE offre sicurezza inattivi sia per il database attivo che per i backup del database e i log delle transazioni. Quando i clienti forniscono la chiave facoltativa, la chiave del cliente viene archiviata in Azure Key Vault e il servizio usa la chiave per crittografare una chiave tenant, che viene usata per crittografare una chiave del sito, che viene quindi usata per crittografare le chiavi a livello di file. In sostanza, viene introdotta una nuova gerarchia di chiavi quando il cliente fornisce una chiave. | Sì |
| Skype for Business | AES a 256 bit | Ogni elemento di dati viene crittografato usando una chiave a 256 bit generata in modo casuale diversa. La chiave di crittografia viene archiviata in un file XML di metadati corrispondente, che viene crittografato anche da una chiave master per conferenza. Anche la chiave master viene generata in modo casuale una volta per conferenza. | Sì | |
| Exchange Online | AES a 256 bit | Ogni cassetta postale viene crittografata usando un criterio di crittografia dei dati che usa chiavi di crittografia controllate da Microsoft o dal cliente (quando viene usata la chiave del cliente). | Sì | |
| TLS tra Microsoft 365 e client/partner | Exchange Online | TLS opportunistico che supporta più suite di crittografia | Il certificato TLS per Exchange Online (outlook.office.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Exchange Online è un certificato SHA1RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì, quando si usa TLS 1.2 con crittografia a 256 bit |
| SharePoint Online | TLS 1.2 con AES 256 Crittografia dei dati in OneDrive for Business e SharePoint Online |
Il certificato TLS per SharePoint Online (*.sharepoint.com) è un certificato SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. Il certificato radice TLS per SharePoint Online è un certificato SHA1RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| Skype for Business | TLS per le comunicazioni SIP e le sessioni di condivisione dei dati PSOM | Il certificato TLS per Skype for Business (*.lync.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Skype for Business è un certificato SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| Microsoft Teams | TLS 1.2 con AES 256 Domande frequenti su Microsoft Teams - Guida Amministrazione |
Il certificato TLS per Microsoft Teams (teams.microsoft.com, edge.skype.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Microsoft Teams è un certificato di SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| TLS tra data center Microsoft | Tutti i servizi di Microsoft 365 | TLS 1.2 con AES 256 Secure Real-Time Transport Protocol (SRTP) |
Microsoft usa un'autorità di certificazione gestita e distribuita internamente per le comunicazioni da server a server tra data center Microsoft. | Sì |
| Azure Rights Management (incluso in Microsoft 365 o Azure Information Protection) | Exchange Online | Supporta la modalità crittografica 2, un'implementazione di crittografia RMS aggiornata e migliorata. Supporta RSA 2048 per la firma e la crittografia e SHA-256 per l'hash nella firma. | Gestito da Microsoft. | Sì |
| SharePoint Online | Supporta la modalità crittografica 2, un'implementazione di crittografia RMS aggiornata e migliorata. Supporta RSA 2048 per la firma e la crittografia e SHA-256 per la firma. | Gestito da Microsoft, che è l'impostazione predefinita; O Gestita dal cliente, che è un'alternativa alle chiavi gestite da Microsoft. Le organizzazioni che dispongono di una sottoscrizione di Azure gestita dall'IT possono usare BYOK e registrarne l'utilizzo senza costi aggiuntivi. Per altre informazioni, vedere Implementazione di Bring Your Own Key. In questa configurazione vengono usati nCipher HSM per proteggere le chiavi. |
Sì | |
| S/MIME | Exchange Online | Sintassi dei messaggi di crittografia Standard 1.5 (PKCS #7) | Dipende dall'infrastruttura a chiave pubblica gestita dal cliente distribuita. La gestione delle chiavi viene eseguita dal cliente e Microsoft non ha mai accesso alle chiavi private usate per la firma e la decrittografia. | Sì, se configurato per crittografare i messaggi in uscita con 3DES o AES256 |
| Crittografia dei messaggi di Office 365 | Exchange Online | Uguale ad Azure RMS (modalità crittografica 2 - RSA 2048 per la firma e la crittografia e SHA-256 per la firma) | Usa Azure Information Protection come infrastruttura di crittografia. Il metodo di crittografia utilizzato dipende da dove ottieni le chiavi RMS utilizzate per crittografare e decrittografare messaggi. | Sì |
| SMTP TLS con l'organizzazione partner | Exchange Online | TLS 1.2 con AES 256 | Il certificato TLS per Exchange Online (outlook.office.com) è un certificato SHA-256 a 2048 bit con crittografia RSA emesso da DigiCert Servizi cloud CA-1. Il certificato radice TLS per Exchange Online è un certificato SHA-1 a 2048 bit con crittografia RSA emesso da GlobalSign Root CA - R1. Tenere presente che, per motivi di sicurezza, i certificati cambiano di volta in volta. |
Sì, quando si usa TLS 1.2 con crittografia a 256 bit |
*I certificati TLS a cui si fa riferimento in questa tabella sono per i data center degli Stati Uniti; I data center non statunitensi usano anche certificati di SHA256RSA a 2048 bit.
Tecnologie di crittografia disponibili negli ambienti della community cloud per enti pubblici
| Tecnologia di crittografia | Implementato da | Algoritmo di scambio delle chiavi e forza | Gestione delle chiavi* | CONVALIDATO FIPS 140-2 |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES a 256 bit | La chiave esterna AES viene archiviata in secret safe e nel Registro di sistema del server Exchange. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì |
| SharePoint Online | AES a 256 bit | La chiave esterna AES viene archiviata in secret safe. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì | |
| Skype for Business | AES a 256 bit | La chiave esterna AES viene archiviata in secret safe. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì | |
| Crittografia del servizio | SharePoint Online | AES a 256 bit | Le chiavi usate per crittografare i BLOB vengono archiviate nel database del contenuto di SharePoint Online. I database del contenuto di SharePoint Online sono protetti dai controlli di accesso al database e dalla crittografia inattivi. La crittografia viene eseguita usando TDE nel database Azure SQL. Questi segreti sono a livello di servizio per SharePoint Online, non a livello di tenant. Questi segreti (a volte definiti chiavi master) vengono archiviati in un repository protetto separato denominato Archivio chiavi. TDE offre sicurezza inattivi sia per il database attivo che per i backup del database e i log delle transazioni. Quando i clienti forniscono la chiave facoltativa, la chiave del cliente viene archiviata in Azure Key Vault e il servizio usa la chiave per crittografare una chiave tenant, usata per crittografare una chiave del sito, che viene quindi usata per crittografare le chiavi a livello di file. In sostanza, viene introdotta una nuova gerarchia di chiavi quando il cliente fornisce una chiave. | Sì |
| Skype for Business | AES a 256 bit | Ogni elemento di dati viene crittografato usando una chiave a 256 bit generata in modo casuale diversa. La chiave di crittografia viene archiviata in un file XML di metadati corrispondente, che viene crittografato anche da una chiave master per conferenza. Anche la chiave master viene generata in modo casuale una volta per conferenza. | Sì | |
| Exchange Online | AES a 256 bit | Ogni cassetta postale viene crittografata usando un criterio di crittografia dei dati che usa chiavi di crittografia controllate da Microsoft o dal cliente (quando viene usata la chiave del cliente). | Sì | |
| TLS tra Microsoft 365 e client/partner | Exchange Online | TLS opportunistico che supporta più suite di crittografia | Il certificato TLS per Exchange Online (outlook.office.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Exchange Online è un certificato SHA1RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì, quando si usa TLS 1.2 con crittografia a 256 bit |
| SharePoint Online | TLS 1.2 con AES 256 | Il certificato TLS per SharePoint Online (*.sharepoint.com) è un certificato SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. Il certificato radice TLS per SharePoint Online è un certificato SHA1RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| Skype for Business | TLS per le comunicazioni SIP e le sessioni di condivisione dei dati PSOM | Il certificato TLS per Skype for Business (*.lync.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Skype for Business è un certificato SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| Microsoft Teams | Domande frequenti su Microsoft Teams - Guida Amministrazione | Il certificato TLS per Microsoft Teams (teams.microsoft.com; edge.skype.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Microsoft Teams è un certificato di SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| TLS tra data center Microsoft | Exchange Online, SharePoint Online, Skype for Business | TLS 1.2 con AES 256 | Microsoft usa un'autorità di certificazione gestita e distribuita internamente per le comunicazioni da server a server tra data center Microsoft. | Sì |
| Secure Real-Time Transport Protocol (SRTP) | ||||
| Servizio Azure Rights Management | Exchange Online | Supporta la modalità crittografica 2, un'implementazione di crittografia RMS aggiornata e migliorata. Supporta RSA 2048 per la firma e la crittografia e SHA-256 per l'hash nella firma. | Gestito da Microsoft. | Sì |
| SharePoint Online | Supporta la modalità crittografica 2, un'implementazione di crittografia RMS aggiornata e migliorata. Supporta RSA 2048 per la firma e la crittografia e SHA-256 per l'hash nella firma. | Gestito da Microsoft, che è l'impostazione predefinita; O Gestita dal cliente (nota anche come BYOK), che è un'alternativa alle chiavi gestite da Microsoft. Le organizzazioni che dispongono di una sottoscrizione di Azure gestita dall'IT possono usare BYOK e registrarne l'utilizzo senza costi aggiuntivi. Per altre informazioni, vedere Implementazione di Bring Your Own Key. Nello scenario BYOK, vengono usati nCipher HSM per proteggere le chiavi. |
Sì | |
| S/MIME | Exchange Online | Sintassi dei messaggi di crittografia Standard 1.5 (PKCS #7) | Dipende dall'infrastruttura a chiave pubblica distribuita. | Sì, se configurato per crittografare i messaggi in uscita con 3DES o AES-256. |
| Crittografia dei messaggi di Office 365 | Exchange Online | Come Azure RMS (modalità crittografica 2 - RSA 2048 per la firma e la crittografia e SHA-256 per l'hash nella firma) | Usa Azure RMS come infrastruttura di crittografia. Il metodo di crittografia utilizzato dipende da dove ottieni le chiavi RMS utilizzate per crittografare e decrittografare messaggi. Se si usa Microsoft Azure RMS per ottenere le chiavi, viene usata la modalità crittografica 2. Se si utilizza Active Directory (AD) RMS per ottenere le chiavi, viene utilizzata la Modalità di crittografia 1 o la Modalità di crittografia 2. Il metodo utilizzato dipende dalla distribuzione Active directory (AD) RMS. La Modalità di crittografia 1 è l'implementazione di crittografia AD RMS originale. Supporta RSA 1024 per la firma e la crittografia e supporta SHA-1 per la firma. Questa modalità continua a essere supportata da tutte le versioni correnti di RMS, ad eccezione delle configurazioni BYOK che usano HSM. |
Sì |
| SMTP TLS con l'organizzazione partner | Exchange Online | TLS 1.2 con AES 256 | Il certificato TLS per Exchange Online (outlook.office.com) è un certificato SHA-256 a 2048 bit con crittografia RSA emesso da DigiCert Servizi cloud CA-1. Il certificato radice TLS per Exchange Online è un certificato SHA-1 a 2048 bit con crittografia RSA emesso da GlobalSign Root CA - R1. Tenere presente che, per motivi di sicurezza, i certificati cambiano di volta in volta. |
Sì, quando si usa TLS 1.2 con crittografia a 256 bit |
*I certificati TLS a cui si fa riferimento in questa tabella sono per i data center degli Stati Uniti; I data center non statunitensi usano anche certificati di SHA256RSA a 2048 bit.