Riesgos y protección de cifrado
Microsoft 365 sigue un marco de control y cumplimiento que se centra en los riesgos para el servicio y para los datos del cliente. El servicio implementa un gran conjunto de métodos basados en procesos y tecnología, denominados controles, para mitigar estos riesgos. La identificación, evaluación y mitigación de riesgos a través de controles es un proceso continuo.
La implementación de controles en capas de nuestros servicios en la nube, como instalaciones, red, servidores, aplicaciones, usuarios (como administradores de Microsoft) y datos, forma una estrategia de defensa en profundidad. La clave de esta estrategia es que muchos controles diferentes se implementan en diferentes capas para protegerse frente a los mismos escenarios de riesgo o similares. Este enfoque multicapa proporciona protección contra errores en caso de que se produzca un error en un control.
En esta tabla se enumeran algunos escenarios de riesgo y las tecnologías de cifrado disponibles actualmente que las mitigan. En muchos casos, estos escenarios también se mitigan mediante otros controles implementados en Microsoft 365.
| Tecnología de cifrado | Servicios | Administración de claves | Escenario de riesgo | Valor |
|---|---|---|---|---|
| BitLocker | Exchange y SharePoint | Microsoft | Los discos o servidores son robados o reciclados incorrectamente. | BitLocker proporciona un enfoque a prueba de errores para protegerse contra la pérdida de datos debido a hardware robado o mal reciclado (servidor o disco). |
| Cifrado de servicio | SharePoint y OneDrive; Intercambiar | Microsoft | Un hacker interno o externo intenta acceder a archivos o datos individuales como blob. | Los datos cifrados no se pueden descifrar sin acceso a las claves. Ayuda a mitigar el riesgo de que un hacker acceda a los datos. |
| Clave de cliente | SharePoint, OneDrive y Exchange | Clientes | N/A (Esta característica está diseñada como una característica de cumplimiento; no como mitigación de ningún riesgo). | Ayuda a los clientes a cumplir las obligaciones internas de regulación y cumplimiento, así como a la capacidad de abandonar el servicio y revocar el acceso de Microsoft a los datos. |
| Seguridad de la capa de transporte (TLS) entre Microsoft 365 y clientes | Exchange, SharePoint, OneDrive, Teams y Viva Engage | Microsoft, Customer | Ataque man-in-the-middle u otro ataque para pulsar el flujo de datos entre Microsoft 365 y los equipos cliente a través de Internet. | Esta implementación proporciona valor tanto a Microsoft como a los clientes y garantiza la integridad de los datos a medida que fluye entre Microsoft 365 y el cliente. |
| TLS entre centros de datos de Microsoft | Exchange, SharePoint y OneDrive | Microsoft | Ataque man-in-the-middle u otro ataque para pulsar el flujo de datos del cliente entre los servidores de Microsoft 365 ubicados en diferentes centros de datos de Microsoft. | Esta implementación es otro método para proteger los datos frente a ataques entre centros de datos de Microsoft. |
| Azure Rights Management (Azure RMS) (incluido en Microsoft 365 o Azure Information Protection) | Exchange, SharePoint y OneDrive | Clientes | Los datos están en manos de una persona que no debería tener acceso a los datos. | Azure Information Protection usa Azure RMS, que proporciona valor a los clientes mediante directivas de cifrado, identidad y autorización para ayudar a proteger los archivos y el correo electrónico en varios dispositivos. Azure RMS proporciona opciones de configuración donde todos los correos electrónicos procedentes de Microsoft 365 que coinciden con determinados criterios (por ejemplo, todos los correos electrónicos a una dirección determinada) se pueden cifrar automáticamente antes de que se envíen a otro destinatario. |
| S/MIME | Exchange | Clientes | Una persona que no es el destinatario previsto obtuvo un correo electrónico. | S/MIME ayuda a garantizar que solo el destinatario previsto pueda descifrar un correo electrónico cifrado. |
| Cifrado de mensajes de Microsoft Purview | Exchange, SharePoint | Clientes | Una persona que no es el destinatario previsto obtuvo un correo electrónico y sus datos adjuntos protegidos. | El cifrado de mensajes le permite configurar el inquilino para que los correos electrónicos que se originan en Microsoft 365 que coincidan con determinados criterios (por ejemplo, todos los correos electrónicos a una dirección determinada) se cifren automáticamente antes de que se envíen. |
| TLS del protocolo simple de transferencia de correo (SMTP) con la organización asociada | Exchange | Clientes | Email se intercepta a través de un ataque de tipo man-in-the-middle u otro ataque mientras está en tránsito desde un inquilino de Microsoft 365 a una organización asociada. | Permite enviar y recibir todos los correos electrónicos entre el inquilino de Microsoft 365 y la organización de correo electrónico de su asociado dentro de un canal SMTP cifrado. |
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Tecnologías de cifrado disponibles en entornos multiinquilino
| Tecnología de cifrado | Implementado por | Intensidad y algoritmo de intercambio de claves | Administración de claves* | Estándares federales de procesamiento de información (FIPS) 140-2 validados |
|---|---|---|---|---|
| BitLocker | Exchange | Advanced Encryption Standard (AES) de 256 bits | La clave externa AES se almacena en un secreto seguro y en el registro del servidor exchange. La seguridad de secretos es un repositorio seguro que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Yes |
| SharePoint | AES de 256 bits | La clave externa AES se almacena en un secreto seguro. La seguridad de secretos es un repositorio seguro que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Yes | |
| Skype Empresarial | AES de 256 bits | La clave externa AES se almacena en un secreto seguro. La seguridad de secretos es un repositorio seguro que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Yes | |
| Cifrado de servicio | SharePoint | AES de 256 bits | Las claves usadas para cifrar los blobs se almacenan en la base de datos de contenido de SharePoint. La base de datos de contenido de SharePoint está protegida por controles de acceso a la base de datos y cifrado en reposo. El cifrado se realiza mediante el cifrado de datos transparente (TDE) en Azure SQL Database. Estos secretos se encuentran en el nivel de servicio para SharePoint, no en el nivel de inquilino. Estos secretos (a veces denominados claves maestras) se almacenan en un repositorio seguro independiente denominado Almacén de claves. TDE proporciona seguridad en reposo tanto para la base de datos activa como para las copias de seguridad de la base de datos y los registros de transacciones. Cuando los clientes proporcionan la clave opcional, la clave se almacena en Azure Key Vault y el servicio usa la clave para cifrar una clave de inquilino, que se usa para cifrar una clave de sitio, que luego se usa para cifrar las claves de nivel de archivo. Básicamente, se introduce una nueva jerarquía de claves cuando el cliente proporciona una clave. | Yes |
| Skype Empresarial | AES de 256 bits | Cada fragmento de datos se cifra mediante una clave de 256 bits generada aleatoriamente diferente. La clave de cifrado se almacena en un archivo XML de metadatos correspondiente, que se cifra mediante una clave maestra por conferencia. La clave maestra también se genera aleatoriamente una vez por conferencia. | Yes | |
| Exchange | AES de 256 bits | Cada buzón de correo se cifra mediante una directiva de cifrado de datos que usa claves de cifrado controladas por Microsoft o por el cliente (cuando se usa la clave de cliente). | Yes | |
| TLS entre Microsoft 365 y clientes o asociados | Exchange | TLS oportunista que admite varios conjuntos de cifrado | El certificado TLS para Exchange (outlook.office.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Exchange es un certificado de SHA1RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí, cuando se usa TLS 1.2 con seguridad de cifrado de 256 bits |
| SharePoint | TLS 1.2 con AES 256 Cifrado de datos en OneDrive y SharePoint |
El certificado TLS para SharePoint (*.sharepoint.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para SharePoint es un certificado de SHA1RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Yes | |
| Microsoft Teams | TLS 1.2 con AES 256 Preguntas más frecuentes sobre Microsoft Teams: Ayuda Administración |
El certificado TLS para Microsoft Teams (teams.microsoft.com, edge.skype.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Microsoft Teams es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Yes | |
| TLS entre centros de datos de Microsoft | Todos los servicios de Microsoft 365 | TLS 1.2 con AES 256 Protocolo de transporte seguro en tiempo real (SRTP) |
Microsoft usa una entidad de certificación administrada e implementada internamente para las comunicaciones de servidor a servidor entre centros de datos de Microsoft. | Yes |
| Azure Rights Management (incluido en Microsoft 365 o Azure Information Protection) | Exchange | Admite el modo criptográfico 2, una implementación criptográfica rms actualizada y mejorada. Admite RSA 2048 para la firma y el cifrado, y SHA-256 para hash en la firma. | Administrado por Microsoft. | Yes |
| SharePoint | Admite el modo criptográfico 2, una implementación criptográfica rms actualizada y mejorada. Admite RSA 2048 para la firma y el cifrado, y SHA-256 para la firma. |
Administrado por Microsoft, que es la configuración predeterminada; o Administrado por el cliente, que es una alternativa a las claves administradas por Microsoft. Las organizaciones que tienen una suscripción de Azure administrada por TI pueden usar bring your own key (BYOK) y registrar su uso sin cargo adicional. Para obtener más información, consulte Implementación de traiga su propia clave. En esta configuración, se usan nCipher Hardware Security Modules (HSM) para proteger las claves. |
Yes | |
| S/MIME | Exchange | Sintaxis de mensajes criptográficos Standard 1.5 (criptografía de clave pública Standard (PKCS) n.º 7) | Depende de la infraestructura de clave pública administrada por el cliente implementada. El cliente administra las claves y Microsoft nunca tiene acceso a las claves privadas usadas para la firma y el descifrado. | Sí, cuando se configura para cifrar los mensajes salientes con 3DES o AES256 |
| Cifrado de mensajes de Microsoft Purview | Exchange | Igual que Azure RMS (modo criptográfico 2 : RSA 2048 para firma y cifrado, y SHA-256 para firma) | Usa Azure Information Protection como su infraestructura de cifrado. El método de cifrado utilizado depende de dónde obtiene las claves de RMS utilizadas para cifrar y descifrar mensajes. | Yes |
| TLS de SMTP con la organización asociada | Exchange | TLS 1.2 con AES 256 | El certificado TLS para Exchange (outlook.office.com) es un SHA-256 de 2048 bits con certificado de cifrado RSA emitido por DigiCert Cloud Services CA-1. El certificado raíz TLS para Exchange es un SHA-1 de 2048 bits con certificado de cifrado RSA emitido por globalSign Root CA – R1. Por motivos de seguridad, nuestros certificados cambian de vez en cuando. |
Sí, cuando se usa TLS 1.2 con seguridad de cifrado de 256 bits |
*Los certificados TLS a los que se hace referencia en esta tabla son para centros de datos de EE. UU.; Los centros de datos que no son de EE. UU. también usan certificados de SHA256RSA de 2048 bits.
Tecnologías de cifrado disponibles en entornos de la comunidad en la nube de Government
| Tecnología de cifrado | Implementado por | Algoritmo y fuerza de intercambio de claves | Administración de claves* | FIPS 140-2 Validado |
|---|---|---|---|---|
| BitLocker | Exchange | AES de 256 bits | La clave externa AES se almacena en un secreto seguro y en el registro del servidor exchange. La seguridad de secretos es un repositorio seguro que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Yes |
| SharePoint | AES de 256 bits | La clave externa AES se almacena en un secreto seguro. La seguridad de secretos es un repositorio seguro que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Yes | |
| Skype Empresarial | AES de 256 bits | La clave externa AES se almacena en un secreto seguro. La seguridad de secretos es un repositorio seguro que requiere elevación y aprobaciones de alto nivel para acceder. El acceso solo se puede solicitar y aprobar mediante una herramienta interna denominada Caja de seguridad. La clave externa de AES también se almacena en el módulo de plataforma segura del servidor. Una contraseña numérica de 48 dígitos se almacena en Active Directory y está protegida por la caja de seguridad. | Yes | |
| Cifrado de servicio | SharePoint | AES de 256 bits | Las claves usadas para cifrar los blobs se almacenan en la base de datos de contenido de SharePoint. Las bases de datos de contenido de SharePoint están protegidas por controles de acceso a la base de datos y cifrado en reposo. El cifrado se realiza mediante TDE en Azure SQL Database. Estos secretos se encuentran en el nivel de servicio para SharePoint, no en el nivel de inquilino. Estos secretos (a veces denominados claves maestras) se almacenan en un repositorio seguro independiente denominado Almacén de claves. TDE proporciona seguridad en reposo tanto para la base de datos activa como para las copias de seguridad de la base de datos y los registros de transacciones. Cuando los clientes proporcionan la clave opcional, la clave de cliente se almacena en Azure Key Vault. El servicio usa la clave para cifrar una clave de inquilino, que se usa para cifrar una clave de sitio, que luego se usa para cifrar las claves de nivel de archivo. Básicamente, se introduce una nueva jerarquía de claves cuando el cliente proporciona una clave. | Yes |
| Skype Empresarial | AES de 256 bits | Cada fragmento de datos se cifra mediante una clave de 256 bits generada aleatoriamente diferente. La clave de cifrado se almacena en un archivo XML de metadatos correspondiente. Una clave maestra por conferencia cifra este archivo XML. La clave maestra también se genera aleatoriamente una vez por conferencia. | Yes | |
| Exchange | AES de 256 bits | Cada buzón de correo se cifra mediante una directiva de cifrado de datos que usa claves de cifrado controladas por Microsoft o por el cliente (cuando se usa la clave de cliente). | Yes | |
| TLS entre Microsoft 365 y clientes o asociados | Exchange | TLS oportunista que admite varios conjuntos de cifrado | El certificado TLS para Exchange (outlook.office.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Exchange es un certificado de SHA1RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Sí, cuando se usa TLS 1.2 con seguridad de cifrado de 256 bits |
| SharePoint | TLS 1.2 con AES 256 | El certificado TLS para SharePoint (*.sharepoint.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para SharePoint es un certificado de SHA1RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Yes | |
| Microsoft Teams | Preguntas más frecuentes sobre Microsoft Teams: Ayuda Administración | El certificado TLS para Microsoft Teams (teams.microsoft.com; edge.skype.com) es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. El certificado raíz TLS para Microsoft Teams es un certificado de SHA256RSA de 2048 bits emitido por Baltimore CyberTrust Root. |
Yes | |
| TLS entre centros de datos de Microsoft | Exchange, SharePoint, Skype Empresarial | TLS 1.2 con AES 256 | Microsoft usa una entidad de certificación administrada e implementada internamente para las comunicaciones de servidor a servidor entre centros de datos de Microsoft. | Yes |
| Protocolo de transporte seguro en tiempo real (SRTP) | ||||
| servicio Azure Rights Management | Exchange | Admite el modo criptográfico 2, una implementación criptográfica rms actualizada y mejorada. Admite RSA 2048 para la firma y el cifrado, y SHA-256 para hash en la firma. | Administrado por Microsoft. | Yes |
| SharePoint | Admite el modo criptográfico 2, una implementación criptográfica rms actualizada y mejorada. Admite RSA 2048 para la firma y el cifrado, y SHA-256 para hash en la firma. |
Administrado por Microsoft, que es la configuración predeterminada; o Administrado por el cliente (también conocido como BYOK), que es una alternativa a las claves administradas por Microsoft. Las organizaciones que tienen una suscripción de Azure administrada por TI pueden usar BYOK y registrar su uso sin cargo adicional. Para obtener más información, consulte Implementación de traiga su propia clave. En el escenario BYOK, se usan HSM nCipher para proteger las claves. |
Yes | |
| S/MIME | Exchange | Sintaxis de mensajes criptográficos Standard 1.5 (PKCS #7) | Depende de la infraestructura de clave pública implementada. | Sí, cuando se configura para cifrar los mensajes salientes con 3DES o AES-256. |
| Cifrado de mensajes de Office 365 | Exchange | Igual que Azure RMS (modo criptográfico 2 : RSA 2048 para firma y cifrado, y SHA-256 para hash en la firma) | Usa Azure RMS como su infraestructura de cifrado. El método de cifrado utilizado depende de dónde obtiene las claves de RMS utilizadas para cifrar y descifrar mensajes. Si usa Azure RMS para obtener las claves, se usa el modo criptográfico 2. Si usa Active Directory (AD) RMS para obtener las claves, se utiliza el modo criptográfico 1 o el modo criptográfico 2. El método empleado depende de la implementación local de AD RMS. El modo criptográfico 1 es la implementación criptográfica original de AD RMS. Admite RSA 1024 para la firma y el cifrado y admite SHA-1 para la firma. Todas las versiones actuales de RMS admiten este modo, excepto las configuraciones BYOK que usan HSM. |
Yes |
| TLS de SMTP con la organización asociada | Exchange | TLS 1.2 con AES 256 | El certificado TLS para Exchange (outlook.office.com) es un sha-256 de 2048 bits con certificado de cifrado RSA emitido por DigiCert Cloud Services CA-1. El certificado raíz TLS para Exchange es un sha-1 de 2048 bits con certificado de cifrado RSA emitido por globalSign Root CA – R1. Por motivos de seguridad, nuestros certificados cambian de vez en cuando. |
Sí, cuando se usa TLS 1.2 con seguridad de cifrado de 256 bits. |
*Los certificados TLS a los que se hace referencia en esta tabla son para centros de datos de EE. UU.; Los centros de datos que no son de EE. UU. también usan certificados de SHA256RSA de 2048 bits.