Condividi tramite


Panoramica sulla crittografia e sulla gestione delle chiavi

Quale ruolo svolge la crittografia nella protezione del contenuto dei clienti?

La maggior parte dei servizi cloud aziendali Microsoft è multi-tenant, il che significa che il contenuto del cliente può essere archiviato nello stesso hardware fisico di altri clienti. Per proteggere la riservatezza dei contenuti dei clienti, Microsoft Servizi online crittografare tutti i dati inattivi e in transito con alcuni dei protocolli di crittografia più sicuri e sicuri disponibili.

La crittografia non sostituisce i controlli di accesso sicuri. I criteri di controllo di accesso di Microsoft di Zero Standing Access (ZSA) proteggono i contenuti dei clienti dall'accesso non autorizzato da parte dei dipendenti Microsoft. La crittografia integra il controllo di accesso proteggendo la riservatezza dei contenuti dei clienti ovunque siano archiviati e impedendo la lettura del contenuto durante il transito tra i sistemi microsoft Servizi online o tra Microsoft Servizi online e il cliente.

In che modo Microsoft Servizi online crittografare i dati inattivi?

Tutto il contenuto del cliente in Microsoft Servizi online è protetto da una o più forme di crittografia. I server Microsoft usano BitLocker per crittografare le unità disco contenenti contenuto del cliente a livello di volume. La crittografia fornita da BitLocker protegge il contenuto dei clienti in caso di errori in altri processi o controlli (ad esempio, il controllo di accesso o il riciclo dell'hardware) che potrebbero causare l'accesso fisico non autorizzato ai dischi contenenti contenuto del cliente.

Oltre alla crittografia a livello di volume, Microsoft Servizi online usare la crittografia a livello di applicazione per crittografare il contenuto dei clienti. La crittografia dei servizi offre funzionalità di protezione e gestione dei diritti oltre a una protezione avanzata della crittografia. Consente anche la separazione tra i sistemi operativi Windows e i dati dei clienti archiviati o elaborati da tali sistemi operativi.

In che modo Microsoft Servizi online crittografare i dati in transito?

Microsoft Servizi online usare protocolli di trasporto sicuri, ad esempio Transport Layer Security (TLS), per impedire a parti non autorizzate di intercettare i dati dei clienti mentre si sposta su una rete. Esempi di dati in transito includono messaggi di posta elettronica in corso di recapito, conversazioni che si svolgono in una riunione online o file replicati tra data center.

Per Microsoft Servizi online, i dati vengono considerati "in transito" ogni volta che il dispositivo di un utente comunica con un server Microsoft o un server Microsoft comunica con un altro server.

In che modo Microsoft Servizi online gestire le chiavi usate per la crittografia?

La crittografia avanzata è sicura solo quanto le chiavi usate per crittografare i dati. Microsoft usa i propri certificati di sicurezza e le chiavi associate per crittografare le connessioni TLS per i dati in transito. Per i dati inattivi, i volumi protetti da BitLocker vengono crittografati con una chiave di crittografia del volume completa, crittografata con una chiave master del volume, che a sua volta è associata al TPM (Trusted Platform Module) nel server. BitLocker usa algoritmi conformi a FIPS 140-2 per garantire che le chiavi di crittografia non vengano mai archiviate o inviate in modalità non crittografata.

La crittografia del servizio offre un altro livello di crittografia per i dati inattivi dei clienti, offrendo ai clienti due opzioni per la gestione delle chiavi di crittografia: chiavi gestite da Microsoft o Chiave cliente. Quando si usano chiavi gestite da Microsoft, Microsoft Servizi online generare e archiviare automaticamente le chiavi radice usate per la crittografia del servizio.

I clienti con i requisiti per controllare le proprie chiavi di crittografia radice possono usare la crittografia del servizio con la chiave del cliente Microsoft Purview. Usando la chiave del cliente, i clienti possono generare le proprie chiavi di crittografia usando un modulo HSM (Hardware Service Module) locale o Azure Key Vault (AKV). Le chiavi radice del cliente vengono archiviate in AKV, dove possono essere usate come radice di uno dei keychain che crittografano i dati o i file delle cassette postali dei clienti. Le chiavi radice del cliente possono essere accessibili solo indirettamente dal codice del servizio online Microsoft per la crittografia dei dati e non sono accessibili direttamente dai dipendenti Microsoft.

I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli relativi alla crittografia e alla gestione delle chiavi, vedere la tabella seguente.

Azure e Dynamics 365

Controlli esterni Sezione Data report più recente
ISO 27001

Dichiarazione di applicabilità
Certificato
A.10.1: Controlli crittografici
A.18.1.5: Controlli crittografici
8 aprile 2024
ISO 27017

Dichiarazione di applicabilità
Certificato
A.10.1: Controlli crittografici
A.18.1.5: Controlli crittografici
8 aprile 2024
ISO 27018

Dichiarazione di applicabilità
Certificato
A.11.6: Crittografia delle informazioni personali trasmesse su reti pubbliche di trasmissione dati 8 aprile 2024
SOC 1
SOC 2
SOC 3
DS-1: archiviazione sicura di certificati e chiavi di crittografia
DS-2: i dati dei clienti sono crittografati in transito
DS-3: comunicazione interna dei componenti di Azure crittografati in transito
DS-4: controlli e procedure di crittografia
16 agosto 2024

Microsoft 365

Controlli esterni Sezione Data report più recente
FedRAMP SC-8: Riservatezza e integrità della trasmissione
SC-13: Uso della crittografia
SC-28: Protezione delle informazioni inattivi
21 agosto 2024
ISO 27001/27017

Dichiarazione di applicabilità
Certificazione (27001)
Certificazione (27017)
A.10.1: Controlli crittografici
A.18.1.5: Controlli crittografici
Marzo 2022
ISO 27018

Dichiarazione di applicabilità
Certificato
A.11.6: Crittografia delle informazioni personali trasmesse su reti pubbliche di trasmissione dati Marzo 2022
SOC 2 CA-44: Crittografia dei dati in transito
CA-54: Crittografia dei dati inattivi
CA-62: Crittografia della cassetta postale chiave cliente
CA-63: Eliminazione dei dati della chiave del cliente
CA-64: Chiave cliente
23 gennaio 2024
SOC 3 CUEC-16: chiavi di crittografia del cliente
CUEC-17: Insieme di credenziali delle chiavi del cliente
CUEC-18: Rotazione della chiave del cliente
23 gennaio 2024