Visão geral de gerenciamento de criptografia e chaves
Que função desempenha a encriptação na proteção do conteúdo do cliente?
A maioria dos serviços cloud empresariais da Microsoft são multi-inquilinos, o que significa que os conteúdos dos clientes podem ser armazenados no mesmo hardware físico que outros clientes. Para proteger a confidencialidade dos conteúdos dos clientes, a Microsoft serviços online encriptar todos os dados inativos e em trânsito com alguns dos protocolos de encriptação mais fortes e seguros disponíveis.
A encriptação não substitui controlos de acesso fortes. A política de controlo de acesso da Microsoft de Acesso Permanente Zero (ZSA) protege os conteúdos dos clientes contra o acesso não autorizado por funcionários da Microsoft. A encriptação complementa o controlo de acesso ao proteger a confidencialidade dos conteúdos dos clientes onde quer que estejam armazenados e ao impedir que os conteúdos sejam lidos enquanto estão em trânsito entre os sistemas de serviços online da Microsoft ou entre o Microsoft serviços online e o cliente.
Como é que o Microsoft serviços online encriptar dados inativos?
Todo o conteúdo do cliente no Microsoft serviços online está protegido por uma ou mais formas de encriptação. Os servidores da Microsoft utilizam o BitLocker para encriptar as unidades de disco que contêm conteúdo do cliente ao nível do volume. A encriptação fornecida pelo BitLocker protege o conteúdo do cliente se existirem lapsos noutros processos ou controlos (por exemplo, controlo de acesso ou reciclagem de hardware) que possam levar a um acesso físico não autorizado a discos que contenham conteúdo de cliente.
Além da encriptação ao nível do volume, o Microsoft serviços online utilizar a encriptação na camada da aplicação para encriptar o conteúdo do cliente. A encriptação de serviço fornece funcionalidades de gestão e proteção de direitos para além da proteção de encriptação forte. Também permite a separação entre os sistemas operativos Windows e os dados do cliente armazenados ou processados por esses sistemas operativos.
Como é que o Microsoft serviços online encriptar dados em trânsito?
A Microsoft serviços online utilizar protocolos de transporte fortes, como o Transport Layer Security (TLS), para impedir que entidades não autorizadas efetuem escutas nos dados dos clientes enquanto passam por uma rede. Exemplos de dados em trânsito incluem mensagens de correio que estão a ser entregues, conversações a decorrer numa reunião online ou ficheiros a serem replicados entre datacenters.
Para o Microsoft serviços online, os dados são considerados "em trânsito" sempre que o dispositivo de um utilizador está a comunicar com um servidor Microsoft ou um servidor Microsoft está a comunicar com outro servidor.
Como é que o Microsoft serviços online gerir as chaves utilizadas para encriptação?
A encriptação forte é tão segura quanto as chaves utilizadas para encriptar dados. A Microsoft utiliza os seus próprios certificados de segurança e chaves associadas para encriptar ligações TLS para dados em trânsito. Para dados inativos, os volumes protegidos pelo BitLocker são encriptados com uma chave de encriptação de volume completa, que é encriptada com uma chave de master de volume, que por sua vez está vinculada ao Trusted Platform Module (TPM) no servidor. O BitLocker utiliza algoritmos compatíveis com FIPS 140-2 para garantir que as chaves de encriptação nunca são armazenadas ou enviadas por cima do fio de forma clara.
A encriptação de serviço fornece outra camada de encriptação para dados inativos do cliente, dando aos clientes duas opções para a gestão de chaves de encriptação: chaves geridas pela Microsoft ou Chave de Cliente. Ao utilizar chaves geridas pela Microsoft, o Microsoft serviços online gerar e armazenar automaticamente as chaves raiz utilizadas para a encriptação de serviços de forma automática.
Os clientes com requisitos para controlar as suas próprias chaves de encriptação de raiz podem utilizar a encriptação de serviço com a Chave de Cliente do Microsoft Purview. Com a Chave de Cliente, os clientes podem gerar as suas próprias chaves criptográficas com um Módulo de Serviço de Hardware (HSM) no local ou o Azure Key Vault (AKV). As chaves de raiz do cliente são armazenadas no AKV, onde podem ser utilizadas como a raiz de um dos porta-chaves que encripta os dados ou ficheiros da caixa de correio do cliente. As chaves de raiz do cliente só podem ser acedidas indiretamente pelo código de serviço online da Microsoft para encriptação de dados e não podem ser acedidas diretamente pelos funcionários da Microsoft.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com a encriptação e a gestão de chaves.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
|
ISO 27001 Declaração de Aplicabilidade Certificado |
A.10.1: Controlos criptográficos A.18.1.5: Controlos criptográficos |
8 de abril de 2024 |
|
ISO 27017 Declaração de Aplicabilidade Certificado |
A.10.1: Controlos criptográficos A.18.1.5: Controlos criptográficos |
8 de abril de 2024 |
|
ISO 27018 Declaração de Aplicabilidade Certificado |
A.11.6: Encriptação do PII transmitida através de redes de transmissão de dados públicas | 8 de abril de 2024 |
|
SOC 1 SOC 2 SOC 3 |
DS-1: Armazenamento seguro de certificados criptográficos e chaves DS-2: Os dados do cliente são encriptados em trânsito DS-3: comunicação interna de componentes do Azure encriptados em trânsito DS-4: Controlos criptográficos e procedimentos |
16 de agosto de 2024 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP | SC-8: Confidencialidade e integridade da transmissão SC-13: Utilização da criptografia SC-28: Proteção das informações inativas |
21 de agosto de 2024 |
|
ISO 27001/27017 Declaração de Aplicabilidade Certificação (27001) Certificação (27017) |
A.10.1: Controlos criptográficos A.18.1.5: Controlos criptográficos |
Março de 2022 |
|
ISO 27018 Declaração de Aplicabilidade Certificado |
A.11.6: Encriptação do PII transmitida através de redes de transmissão de dados públicas | Março de 2022 |
| SOC 2 | CA-44: Encriptação de dados em trânsito CA-54: Encriptação de dados inativos CA-62: Encriptação da caixa de correio chave do cliente CA-63: Eliminação de dados da Chave de Cliente CA-64: Chave de Cliente |
23 de janeiro de 2024 |
| SOC 3 | CUEC-16: Chaves de encriptação do cliente CUEC-17: Cofre de Chaves do Cliente CUEC-18: Rotação da Chave de Cliente |
23 de janeiro de 2024 |