Jaa

Tietojen salauksesta

  • Artikkeli

Tiedot ovat organisaation arvokkain ja korvaamattomin resurssi, ja salaus toimii monitasoisen tietoturvastrategian viimeisenä ja vahvimpana puolustuskeinona. Microsoft Business Cloud -palvelut ja -tuotteet käyttävät salausta asiakastietojen suojaamiseen ja auttavat sinua hallitsemaan niitä.

Levossa olevien tietojen suojaus

Salaus hahmontaa tiedot sellaisiksi, etteivät luvattomat henkilöt voi lukea niitä, vaikka he murtaisivat palomuurin, soluttautuisivat verkkoon, saisivat laitteet fyysisesti käyttöön tai ohittaisivat paikallisen koneen oikeudet. Salaus muuntaa tiedot niin, että vain henkilö, jolla on salauksen purkuavain, voi käyttää niitä.

Dynamics 365 käyttää heterogeenistä tallennusta (Dataverse) tietojen tallentamiseen. Tiedot jaetaan eri tallennustilatyypeille:

  • Azuren SQL -tietokanta relaatiotietoja varten
  • Azure Blob -tallennustila binaaritietoja, kuten kuvia ja asiakirjoja varten
  • Azure-haku hakujen indeksointia varten
  • Microsoft 365 -aktiviteettiloki ja Azure Cosmos DB seurantatietoja varten
  • Azure Data Lake for Analytics

Dataverse-tietokannat käyttävät SQL TDE:tä (Transparent Data Encryption, FIPS 140-2 -yhteensopiva) tarjotakseen reaaliaikaisen I/O-salauksen ja salauksen purkamisen tiedoille ja lokitiedostoille (levossa olevien tietojen salaus). Azure-tallennustilan salausta käytetään levossa oleviin tietoihin, jotka on tallennettu Azure Blob -säilöön. Nämä salataan (ja salaus puretaan) läpinäkyvästi käyttämällä 256-bittistä AES-salausta, joka on yhteensopiva FIPS 140-2:n kanssa.

Oletusarvoisesti Microsoft tallentaa ja hallitsee tietokannan salausavainta ympäristöissäsi hallitun Microsoft avaimen avulla. Power Platform tarjoaa kuitenkin lisättyä tietojen suojaushallintaa varten asiakkaan hallitseman salausavaimen (CMK), jossa voit itse hallita tietokannan salausavainta. Salausavain sijaitsee omassa Azure Key Vault -avainsäilössäsi, jonka avulla voit kierrättää tai vaihtaa salausavainta tarpeen mukaan. Sen avulla voit myös estää Microsoft pääsyn asiakastietoihisi, kun peruutat tärkeän pääsyn palveluihimme milloin tahansa.

Levossa säilytettävien tietojen salaus

Järjestelmänvalvoja voi tarjota oman salausavaimensa käyttämällä omaa avaimenmuodostuslaitettaan (HSM) tai käyttämällä Azure Key Vaultia salausavaimen muodostamiseksi. Avainten hallintatoiminto yksinkertaistaa salausavainten hallinnan käyttämällä Azure Key Vaultia salausavaimien turvalliseen tallentamiseen. Azure Key Vault auttaa suojaamaan pilvisovelluksissa ja -palveluissa käytettäviä kryptografisia avaimia ja salaisia koodeja. Salausavaien on täytettävä seuraavat Azure Key Vault -vaatimukset:

Järjestelmänvalvojat voivat myös palauttaa salausavaimen takaisin hallittuun Microsoft avaimeen milloin tahansa.

Siirrettävien tietojen suojaus

Azure suojaa tiedot, joita siirretään komponentteihin tai komponenteista sekä sisäisesti siirrettävät tiedot, kuten tiedot kahden näennäisverkon välillä. Azure käyttää alan standardien mukaisia siirtoprotokollia, kuten TLS:ää, käyttäjien laitteiden ja Microsoft palvelinkeskusten välillä sekä itse palvelinkeskusten sisällä. Jotta tietosi suojata vielä enemmän, palvelujen välinen Microsoft sisäinen viestintä käyttää Microsoft runkoverkkoa, joten se ei ole alttiina julkiselle Internetille.

Microsoft käyttää tuotteissaan ja palveluissaan useita salausmenetelmiä, protokollia ja algoritmeja tarjotakseen turvallisen reitin infrastruktuurin läpi kulkeville tiedoille ja auttaakseen suojata infrastruktuuriin tallennettujen tietojen luottamuksellisuutta. Microsoft Käyttää joitakin alan vahvimmista ja turvallisimmista salausprotokollista estääkseen tietojesi luvattoman käytön. Asianmukainen avainten hallinta on olennainen osa salauksen parhaita käytäntöjä ja Microsoft auttaa varmistamaan, että salausavaimet on suojattu oikein.

Siirrettävien tietojen salaus

Esimerkkejä protokollista ja tekniikoista:

  • Transport Layer Security/Secure Sockets Layer (TLS/SSL), joka käyttää symmetristä kryptografiaa, joka perustuu jaettuun salaiseen koodiin ja viestinnän salaukseen tietojen siirtyessä verkossa.
  • Internet Protocol Security (IPsec), joukko alan standardiprotokollia, joita käytetään tietojen todentamiseen, eheyteen ja luottamuksellisuuteen IP-pakettitasolla tietojen siirtyessä verkossa.
  • Advanced Encryption Standard (AES)-256, NIST:n (National Institute of Standards and Technology) määritys symmetrisestä avainten tietojen salauksesta, jonka Yhdysvaltain valtionhallinto otti käyttöön ja jolla se korvasi Data Encryption Standardin (DES) ja RSA 2048 -julkisten avainten salauksen tekniikan.