Tietojen salausta koskevat suositukset
Koskee hyvin suunniteltua tietoturvan tarkistuslistasuositusta Power Platform :
| SE:06 | Sallaa tietoja käyttäen moderneja alan standardoituja menetelmiä luottamuksellisuuden ja eheyden säilyttämistä varten. Kohdenna salauksen vaikutusalue tietojen luokitteluun. Priorisoi ympäristön alkuperäisiä salausmenetelmiä. |
|---|
Jos tietoja ei ole suojattu, niitä voi muokata haitallisesti, mikä johtaa eheyden ja luottamuksellisuuden menetykseen.
Tässä oppaassa esitetään salausta ja tietojen suojaamista koskevat suositukset. Salaus on prosessi, jossa salausalgoritmeja käytetään tekemään tiedoista lukukelvottomia ja lukitsemaan tiedot avaimella. Salatussa tilassa tietoja ei voi tulkita. Niiden salaus voidaan poistaa vain avaimella, joka on yhteydessä salausavaimeen.
Määritelmät
| Ehdot | Määritelmä |
|---|---|
| Varmenteet | Digitaaliset tiedostot, jotka sisältävät salauksen tai salauksen purkamisen julkiset avaimet. |
| Salauksen purkaminen | Prosessi, jossa salatut tiedot avataan salaisella koodilla. |
| Salaus | Prosessi, jolla tietoja tehdään lukukelvottomiksi ja lukitaan salaisella koodilla. |
| Avaimet | Salainen koodi, jota käytetään salattujen tietojen lukitsemiseen tai avaamiseen. |
Tärkeimmät suunnittelustrategiat
Organisaation tai sääntelylliset vaatimukset voivat pakottaa salausmekanismien käyttöön. Vaatimuksena voi esimerkiksi olla, että tietojen on pysyttävä vain valitulla alueella ja että tietojen jäljennöksiä ylläpidetään kyseisellä alueella.
Nämä vaatimukset ovat usein pienimpiä perusvaatimuksia. Pyri korkeampaan suojaustasoon. Olet vastuussa luottamuksellisten tietojen luottamuksellisuusvuotojen ja niiden peukaloinnin ehkäisemisestä, oli kyse sitten ulkoisen käyttäjän tiedoista tai työntekijän tiedoista.
Tiedot ovat organisaation arvokkain ja korvaamattomin resurssi, ja salaus toimii monitasoisen tietoturvastrategian viimeisenä ja vahvimpana puolustuskeinona. Microsoft Business Cloud -palvelut ja -tuotteet käyttävät salausta asiakastietojen suojaamiseen ja auttavat sinua hallitsemaan niitä.
Salausskenaariot
Salausmekanismien on todennäköisesti suojattava tiedot kolmessa vaiheessa:
Levossa olevat tiedot ovat kaikki tiedot, joita säilytetään tallennusobjekteissa. Oletusarvoisesti Microsoft tallentaa ja hallitsee tietokannan salausavainta ympäristöissäsi hallitun Microsoft avaimen avulla. Power Platform tarjoaa kuitenkin lisättyä tietojen suojaushallintaa varten asiakkaan hallitseman salausavaimen (CMK), jossa voit itse hallita tietokannan salausavainta.
Käsiteltävät tiedot ovat tietoja, joita käytetään vuorovaikutteisen skenaarion osana tai kun taustaprosessi, kuten päivitys, koskettaa sitä. Power Platform lataa käsiteltyjä tietoja yhden tai useamman palvelun työmäärän muistitilaan. Muistiin tallennettuja tietoja ei salata työmäärän toiminnallisuuden varmistamiseksi.
Siirrettävät tiedot ovat tietoja, joita siirretään komponenttien, sijaintien tai ohjelmien välillä. Azure käyttää alan standardien mukaisia siirtoprotokollia, kuten Transport kerros Security (TLS) -protokollaa käyttäjälaitteiden ja Microsoft datakeskusten välillä sekä itse palvelinkeskusten sisällä.
Alkuperäiset salausmekanismit
Oletusarvoisesti Microsoft tallentaa ja hallitsee tietokannan salausavainta ympäristöissäsi hallitun Microsoft avaimen avulla. Power Platform tarjoaa kuitenkin lisättyä tietojen suojaushallintaa varten asiakkaan hallitseman salausavaimen (CMK), jossa voit itse hallita tietokannan salausavainta. Salausavain sijaitsee omassa Azure Key Vault -avainsäilössäsi, jonka avulla voit kierrättää tai vaihtaa salausavainta tarpeen mukaan. Sen avulla voit myös estää Microsoft pääsyn asiakastietoihisi, kun peruutat tärkeän pääsyn palveluihimme milloin tahansa.
Salausavaimet
Oletusarvoisesti Power Platform palvelut käyttävät Microsoft hallittuja salausavaimia tietojen salaamiseen ja salauksen purkamiseen. Azure vastaa avainten hallinnasta.
Voit valita asiakkaan hallitsemat avaimet. Power Platform käyttää silti avaimiasi, mutta olet vastuuvelvollinen avainten toiminnoista.
Power Platform – avustaminen
Seuraavissa osissa käsitellään Power Platformin toimintoja ja ominaisuuksia, joita voidaan käyttää tietojen salaamiseen
Asiakkaan hallitsema avain
Kaikki sinne Power Platform tallennetut asiakastiedot salataan oletusarvoisesti vahvasti Microsoft hallitulla salausavaimella. Organisaatiot, joilla on tietosuoja- ja yhdenmukaisuusvaatimukset tietojensa suojaamiseksi ja omien avaintensa hallitsemiseksi, voivat käyttää asiakkaan hallitsemien avainten ominaisuutta. Asiakkaan hallitsema avain lisää tietosuojaa, kun hallitset itse Dataverse-ympäristöösi liittyvää tietojen salausavainta. Tämän ominaisuuden käyttäminen mahdollistaa salausavainten kierrättämisen tai vaihtamisen tarpeen mukaan. Lisäksi se estää Microsoft pääsemästä tietoihisi, kun peruutat avaimen palvelusta. Lisätietoja on ohjeaiheessa Asiakkaan hallitseman salausavaimen hallinta.
Tietojen sijainti
Azure Active Directory (Azure AD) -vuokraajassa on tietoja, jotka ovat relevantteja organisaatiolle ja sen turvallisuudelle. Kun Azure AD -vuokraaja kirjautuu Power Platform -palveluihin, vuokraajan valitsema maa tai alue yhdistetään sopivimaan Azure-sijaintiin, jossa on Power Platform -käyttöönotto. Power Platform tallentaa asiakastiedot vuokraajalle määritettyyn Azure-sijaintiin, kotimaantieteellinen sijainti, paitsi jos organisaatiolla on palveluiden käyttöönottoja useilla alueilla.
Power Platform -palvelut ovat käytettävissä tietyissä Azure-sijainneissa. Lisätietoja siitä, missä Power Platform palvelut ovat käytettävissä, mihin tietosi tallennetaan ja miten niitä käytetään, on kohdassa Microsoft Valvontakeskus. Asiakastietojen säilytyspaikkaa koskevat sitoumukset on määritelty Online-palveluiden Microsoft ehtojen tietojenkäsittelyehdoissa. Microsoft tarjoaa myös datakeskuksia suvereeneille yksiköille.
Generatiivisten tekoälyominaisuuksien käyttäminen Copilot Studio Yhdysvaltojen ulkopuolisilta alueilta johtaa tietojen liikkumiseen alueellisten rajojen yli. Tämä tietojen siirto voidaan ottaa käyttöön ja poistaa käytöstä Power Platformissa. Lue lisää kohdasta Alueet, jotka liittyvät copiloteihin ja generatiivisiin tekoälyominaisuuksiin. Microsoft Copilot Studion maantieteellinen tietojen sijainti on luotettava ympäristö, joka varmistaa tietojen suojauksen ja paikallisten säädösten noudattamisen. Omien alkuperäisten suojausominaisuuksiensa Copilot Studio lisäksi se hyödyntää Azure-infrastruktuuria tarjotakseen turvallisia ja vaatimustenmukaisia tietojen sijaintivaihtoehtoja. Lue lisää tietojen sijainnista ja Copilot Studio kohdista Maantieteellinen tietojen sijainti ja Copilot Studio Tietoturvan ja maantieteellisten tietojen sijainti. Copilot Studio
Levossa säilytettävät tiedot
Ellei dokumentaatiossa toisin ole ilmoitettu, asiakastiedot säilyvät alkuperäisessä lähteessä (esimerkiksi Dataverse tai SharePoint). Kaikki säilytetyt Power Platform tiedot salataan oletusarvoisesti Microsoft hallituilla avaimilla.
Tietoja käsitellään
Tietoja käsitellään, kun yksi tai useampi käyttäjä käyttää niitä aktiivisesti vuorovaikutteisen skenaarion osana tai kun taustaprosessi, kuten päivitys, koskee näitä tietoja. Power Platform lataa käsiteltyjä tietoja yhden tai useamman palvelun työmäärän muistitilaan. Muistiin tallennettuja tietoja ei salata työmäärän toiminnallisuuden varmistamiseksi.
Tietoja siirretään
Power Platform edellyttää, että kaikki saapuva HTTP-liikenne on salattava TLS 1.2:ssa tai sitä uudemmassa. Pyynnöt, jotka käyttävät TLS 1.1 -versiota tai vanhempaa, hylätään.
Lisätietoja: Tietoja tietojen salauksesta Power Platformissa ja Tietojen tallennus ja hallinto Power Platformissa.
Liittyvät tiedot
- Tietoja tietojen salauksesta
- Tietojen tallennus ja hallinta Power Platform
- Power Platform Tietoturvaa koskevat usein kysytyt kysymykset
- Asiakkaan hallitseman salausavaimen hallinta
Suojauksen tarkistusluettelo
Katso lisätietoja suositusten kokoelmasta.