Шифрование данных в OneDrive для бизнеса и SharePoint Online
Понимание основных элементов шифрования данных для обеспечения их защиты в OneDrive для бизнеса и SharePoint Online.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Безопасность и шифрование данных в Microsoft 365
Microsoft 365 — это высокозащищенная среда, которая обеспечивает обширную защиту на нескольких уровнях: безопасность физического центра обработки данных, сетевая безопасность, безопасность доступа, безопасность приложений и безопасность данных. Данная статья посвящена вопросам защиты данных, которые хранятся и передаются, благодаря их шифрованию для OneDrive для бизнеса и SharePoint Online.
Посмотрите видео о принципах шифрования данных.
Шифрование транзитных данных
В OneDrive для бизнеса и SharePoint Online существует два сценария, в которых данные попадают в центры обработки данных и выходят из них.
Взаимодействие клиента с сервером Обмен данными с OneDrive для бизнеса через Интернет использует подключения SSL/TLS. Все SSL-подключения устанавливаются с помощью 2048-битных ключей.
Перемещение данных между центрами обработки данных Основная причина перемещения данных между центрами обработки данных — георепликация для обеспечения аварийного восстановления. Например, SQL Server журналы транзакций и разностные данные хранилища BLOB-объектов перемещаются по этому каналу. Хотя эти данные передаются по частной сети, они дополнительно защищены лучшим в своем классе шифрованием.
Шифрование статических данных
Шифрование статических включает два компонента: шифрование BitLocker на уровне диска и пофайловое шифрование клиентского контента.
Развертывание BitLocker выполняется для OneDrive для бизнеса и SharePoint Online в службе. Шифрование для каждого файла также используется в OneDrive для бизнеса и SharePoint Online в Microsoft 365 с несколькими клиентами и в новых выделенных средах, основанных на мультитенантной технологии.
Хотя BitLocker шифрует все данные на диске, шифрование для каждого файла идет еще дальше, включая уникальный ключ шифрования для каждого файла. Кроме того, каждое обновление каждого файла шифруется с помощью собственного ключа шифрования. Ключи зашифрованного содержимого хранятся в физическом расположении, отдельном от содержимого. Каждый шаг этого шифрования использует расширенный стандарт шифрования (AES) с 256-разрядными ключами и соответствует федеральному стандарту обработки информации (FIPS) 140-2. Зашифрованное содержимое распределяется по нескольким контейнерам в центре обработки данных, и каждый контейнер имеет уникальные учетные данные. Эти учетные данные хранятся в отдельном физическом расположении от содержимого или ключей содержимого.
Дополнительные сведения о соответствии FIPS 140-2 см. в разделе Соответствие FIPS 140-2.
При шифрование статических данных на уровне файлов используется хранилище больших двоичных объектов, которое обеспечивает практически неограниченный размер виртуального хранилища и высокий уровень защиты. Весь пользовательский контент в OneDrive для бизнеса и SharePoint Online будет перенесен в хранилище больших двоичных объектов. Вот как осуществляется защита данных:
Все содержимое шифруется, возможно, с несколькими ключами и распространяется по центру обработки данных. Каждый сохраняемый файл, в зависимости от размера, разбивается на один или несколько блоков. Затем каждый блок шифруется с использованием своего уникального ключа. Аналогичным образом происходит шифрование обновлений: пакеты изменений (дельты), отправляемые пользователем, разбиваются на блоки, каждый из которых шифруется собственным ключом.
Все эти блоки (файлы, фрагменты файлов, дельты обновлений) сохраняются как большие двоичные объекты в хранилище больших двоичных объектов. Они также распределяются между несколькими контейнерами больших двоичных объектов.
"Карта", используемая для повторной сборки файла из компонентов, хранится в базе данных контента.
Каждый контейнер больших двоичных объектов использует собственные уникальные учетные данные для каждого типа доступа (на чтение, запись, перечисление и удаление). Каждый набор учетных данных содержится в безопасном хранилище ключей и регулярно обновляется.
Другими словами, в пофайловом статическом шифровании задействованы три различных типа хранилищ, каждое со своими определенными функциями:
Контент хранится в виде зашифрованных больших двоичных объектов в хранилище больших двоичных объектов. Ключ для каждого блока контента зашифрован и хранится отдельно в базе данных контента. Сам контент не содержит никакой информации о его расшифровке.
База данных контента это база данных SQL Server. Она содержит карту, необходимую для нахождения и повторной сборки всех больших двоичных объектов контента, содержащихся в хранилище больших двоичных объектов, а также ключи для расшифровки этих объектов.
Каждый из этих трех компонентов хранения — хранилище больших двоичных объектов, база данных контента и хранилище ключей — физически отделены друг от друга. Информация, хранящаяся в каждом из компонентов, не может использоваться самостоятельно. Это обеспечивает исключительный уровень безопасности. Без доступа ко всем трем хранилищам невозможно извлечь ключи для блоков, расшифровать ключи и сделать их пригодными для использования, связать ключи с соответствующими блоками, расшифровать любой из блоков или воссоздать документ из составляющих его блоков.