Criptografia no Microsoft Cloud

Os dados do cliente nos serviços de nuvem corporativa da Microsoft são protegidos por várias tecnologias e processos, incluindo várias formas de criptografia. (Os dados do cliente neste documento incluem Exchange Online conteúdo da caixa de correio, o corpo do email, as entradas de calendário e o conteúdo dos anexos de email e, se aplicável, Skype for Business conteúdo, o conteúdo do site do SharePoint Online e os arquivos armazenados em sites e arquivos carregados em OneDrive for Business ou Skype for Business.) A Microsoft usa vários métodos de criptografia, protocolos e cifras em seus produtos e serviços para ajudar a fornecer um caminho seguro para os dados do cliente percorrerem nossos serviços de nuvem e ajudar a proteger a confidencialidade dos dados do cliente armazenados em nossos serviços de nuvem. A Microsoft usa alguns dos protocolos de criptografia mais fortes e seguros disponíveis para fornecer barreiras contra o acesso não autorizado aos dados do cliente. O gerenciamento de chaves adequado também é um elemento essencial das melhores práticas de criptografia, e a Microsoft trabalha para garantir que todas as chaves de criptografia gerenciadas pela Microsoft estejam corretamente protegidas.

Os dados do cliente armazenados nos serviços de nuvem corporativa da Microsoft são protegidos usando uma ou mais formas de criptografia. (A validação de nossa política de criptografia e sua imposição é verificada independentemente por vários auditores de terceiros e os relatórios dessas auditorias estão disponíveis no Portal de Confiança do Serviço.)

A Microsoft fornece tecnologias do lado do serviço que criptografam dados do cliente em repouso e em trânsito. Por exemplo, para dados do cliente em repouso, o Microsoft Azure usa BitLocker e DM-Crypt, e o Microsoft 365 usa BitLocker, Criptografia do Serviço de Armazenamento do Azure, DKM ( Gerenciador de Chaves Distribuídas ) e criptografia de serviço do Microsoft 365. Para dados do cliente em trânsito, o Azure, Office 365, Suporte Comercial da Microsoft, Microsoft Dynamics 365, Microsoft Power BI e Visual Studio Team Services usam protocolos de transporte seguro padrão do setor, como IPsec (Internet Protocol Security) e TLS (Transport Layer Security), entre datacenters da Microsoft e entre dispositivos de usuário e Datacenters da Microsoft.

Além do nível de linha de base de segurança criptográfica fornecido pela Microsoft, nossos serviços de nuvem também incluem opções de criptografia que você pode gerenciar. Por exemplo, você pode habilitar a criptografia para o tráfego entre suas VMs (máquinas virtuais) do Azure e seus usuários. Com as Redes Virtuais do Azure, você pode usar o protocolo IPsec padrão do setor para criptografar o tráfego entre o gateway de VPN corporativo e o Azure. Você também pode criptografar o tráfego entre as VMs em sua rede virtual. Além disso, novos recursos de criptografia de mensagens Office 365 permitem enviar emails criptografados para qualquer pessoa.

Seguindo o Padrão de Segurança Operacional da Infraestrutura de Chave Pública, que é um componente da Política de Segurança da Microsoft, a Microsoft usa os recursos criptográficos incluídos no sistema operacional Windows para certificados e mecanismos de autenticação. Esses mecanismos incluem o uso de módulos criptográficos que atendem ao padrão FIPS ( Federal Information Processing Standards ) 140-2 do governo dos EUA. Você pode pesquisar os números de certificado NIST relevantes para a Microsoft usando o CMVP do Programa de Validação do Módulo Criptográfico.

[OBSERVAÇÃO] Para acessar a Política de Segurança da Microsoft como um recurso, você deve entrar usando sua conta corporativa ou escolar. Se você ainda não tiver uma assinatura, poderá se inscrever para uma avaliação gratuita.

O FIPS 140-2 é um padrão projetado especificamente para validar módulos de produto que implementam criptografia em vez dos produtos que os usam. Os módulos criptográficos implementados em um serviço podem ser certificados como atendendo aos requisitos de força de hash, gerenciamento de chaves e similares. Os módulos criptográficos e as criptografias usados para proteger a confidencialidade, integridade ou disponibilidade de dados nos serviços de nuvem da Microsoft atendem ao padrão FIPS 140-2.

A Microsoft certifica os módulos criptográficos subjacentes usados em nossos serviços de nuvem a cada nova versão do sistema operacional Windows:

  • Governo dos EUA do Azure e do Azure
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense

A criptografia de dados do cliente em repouso é fornecida por várias tecnologias do lado do serviço, incluindo BitLocker, DKM, Criptografia do Serviço de Armazenamento do Azure e criptografia de serviço em Exchange Online, Skype for Business, OneDrive for Business e SharePoint Online. Office 365 criptografia de serviço inclui uma opção para usar chaves de criptografia gerenciadas pelo cliente armazenadas no Azure Key Vault. Essa opção de chave gerenciada pelo cliente, chamada Customer Key, está disponível para Exchange Online, SharePoint Online, Skype for Business e OneDrive for Business.

Para dados do cliente em trânsito, todos os servidores Office 365 negociam sessões seguras usando TLS por padrão com computadores cliente para proteger os dados do cliente. Por exemplo, Office 365 negociará sessões seguras para Skype for Business, Outlook e Outlook na Web, clientes móveis e navegadores da Web.

(Todos os servidores voltados para o cliente negociam com o TLS 1.2 por padrão.)

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.