Compartir a través de

Cifrado de datos en OneDrive y SharePoint

  • Artículo

Comprenda los elementos básicos del cifrado para la seguridad de datos en OneDrive y SharePoint.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Seguridad y cifrado de datos en Microsoft 365

Microsoft 365 es un entorno muy seguro que ofrece una amplia protección en varias capas: seguridad física del centro de datos, seguridad de red, seguridad de acceso, seguridad de aplicaciones y seguridad de datos. Este artículo se centra específicamente en el lado del cifrado en tránsito y en reposo de la seguridad de datos para OneDrive y SharePoint.

Vea cómo funciona el cifrado de datos en el siguiente vídeo.

Cifrado de datos en tránsito

En OneDrive y SharePoint, hay dos escenarios en los que los datos entran y salen de los centros de datos.

  • Comunicación del cliente con el servidor La comunicación con OneDrive a través de Internet usa conexiones SSL/TLS. Todas las conexiones TLS se establecen mediante claves de 2048 bits.

  • Movimiento de datos entre centros de datos La razón principal para mover datos entre centros de datos es la replicación geográfica para habilitar la recuperación ante desastres. Por ejemplo, los registros de transacciones y diferencias de almacenamiento de blobs de SQL Server recorren esta canalización. Aunque estos datos ya se transmiten mediante una red privada, se protegen aún más con el mejor cifrado de su clase.

Cifrado de datos en reposo

El cifrado en reposo incluye dos componentes: cifrado de nivel de disco de BitLocker y cifrado por archivo del contenido del cliente.

BitLocker se implementa para OneDrive y SharePoint en todo el servicio. El cifrado por archivo también está en OneDrive y SharePoint en entornos multiinquilino de Microsoft 365 y nuevos entornos dedicados que se basan en la tecnología multiinquilino.

Mientras que BitLocker cifra todos los datos en un disco, el cifrado por archivo va más allá al incluir una clave de cifrado única para cada archivo. Además, la actualización de cada archivo se cifra mediante su propia clave de cifrado. Las claves del contenido cifrado se almacenan en una ubicación físicamente independiente del contenido. Cada paso de este cifrado usa el Estándar de cifrado avanzado (AES) con claves de 256 bits y cumple el Estándar federal de procesamiento de información (FIPS) 140-2. El contenido cifrado se distribuye entre muchos contenedores en todo el centro de datos y cada contenedor tiene credenciales únicas. Estas credenciales se almacenan en una ubicación física independiente del contenido o de las claves de contenido.

Para obtener más información sobre el cumplimiento de FIPS 140-2, consulte Cumplimiento con FIPS 140-2.

El cifrado de nivel de archivo en reposo aprovecha el almacenamiento de blobs para proporcionar un crecimiento del almacenamiento y habilitar una protección sin precedentes. Todo el contenido del cliente de OneDrive y SharePoint se migra al almacenamiento de blobs. A continuación, se muestra cómo se protegen los datos:

  1. Todo el contenido se cifra, potencialmente con varias claves, y se distribuye entre el centro de datos. Cada archivo que se va a almacenar se divide en uno o más fragmentos, en función de su tamaño. A continuación, cada fragmento se cifra mediante su propia clave única. Las actualizaciones se administran de forma similar: el conjunto de cambios o diferencias, enviado por un usuario, se divide en fragmentos y cada uno se cifra con su propia clave.

  2. Todos estos fragmentos (archivos, partes de archivos y diferencias de actualización) se almacenan como blobs en nuestro almacén de blobs. También se distribuyen aleatoriamente entre varios contenedores de blobs.

  3. El "mapa" usado para volver a ensamblar el archivo desde sus componentes se almacena en la base de datos de contenido.

  4. Cada contenedor de blobs tiene sus propias credenciales únicas por tipo de acceso (lectura, escritura, enumeración y eliminación). Cada conjunto de credenciales se encuentra en el almacén de claves seguras y se actualiza periódicamente.

En otras palabras, hay tres tipos diferentes de almacenes implicados en el cifrado por archivo en reposo, cada uno con una función distinta:

  • El contenido se almacena como blobs cifrados en el almacén de blobs. La clave de cada fragmento de contenido se cifra y almacena por separado en la base de datos de contenido. El propio contenido no retiene ninguna pista sobre cómo se puede descifrar.

  • La base de datos de contenido es una base de datos de SQL Server. Contiene el mapa necesario para buscar y volver a ensamblar todos los blobs de contenido que se mantienen en el almacén de blobs y las claves necesarias para descifrar esos blobs.

Cada uno de estos tres componentes de almacenamiento (el almacén de blobs, la base de datos de contenido y el almacén de claves) es físicamente independiente. La información contenida en cualquiera de los componentes es inutilizable por sí misma. Esta estrategia proporciona un nivel de seguridad sin precedentes. Sin acceso a los tres es imposible recuperar las claves de los fragmentos, descifrar las claves para que sean utilizables, asociar las claves con sus fragmentos correspondientes, descifrar cualquier fragmento o reconstruir un documento a partir de sus fragmentos constituyentes.