Condividi tramite

Crittografia dei dati in OneDrive e SharePoint

  • Articolo

Informazioni sugli elementi di base della crittografia per la sicurezza dei dati in OneDrive e SharePoint.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Sicurezza e crittografia dei dati in Microsoft 365

Microsoft 365 è un ambiente altamente sicuro che offre protezione estesa a più livelli: sicurezza dei data center fisici, sicurezza di rete, sicurezza degli accessi, sicurezza delle applicazioni e sicurezza dei dati. Questo articolo è incentrato in particolare sul lato della crittografia in transito e inattivi della sicurezza dei dati per OneDrive e SharePoint.

Nel seguente video è possibile vedere in che modo funziona la crittografia dei dati.

Crittografia dei dati in transito

In OneDrive e SharePoint esistono due scenari in cui i dati vengono immessi e chiusi dai data center.

  • Comunicazione client con il server La comunicazione con OneDrive in Internet usa connessioni SSL/TLS. Tutte le connessioni TLS vengono stabilite usando chiavi a 2048 bit.

  • Spostamento dei dati tra data center Il motivo principale per spostare i dati tra i data center è che la replica geografica consenta il ripristino di emergenza. Ad esempio, i registri transazioni di SQL Server e le differenze dell'archiviazione BLOB viaggiano lungo questa pipe. Anche se questi dati sono già trasmessi tramite una rete privata, sono ulteriormente protetti con la crittografia migliore della classe.

Crittografia dei dati statici

La crittografia inattiva include due componenti: Crittografia a livello di disco BitLocker e crittografia per file del contenuto cliente.

BitLocker viene distribuito per OneDrive e SharePoint nel servizio. La crittografia per file si trova anche in OneDrive e SharePoint in Microsoft 365 multi-tenant e nuovi ambienti dedicati basati sulla tecnologia multi-tenant.

Mentre BitLocker esegue la crittografia di tutti i dati su un disco, la crittografia per file è ancora più approfondita includendo un'unica chiave di crittografia per ogni file. Inoltre, ogni aggiornamento di ogni file viene crittografata mediante la relativa chiave di crittografia. Le chiavi del contenuto crittografato vengono archiviate in una posizione fisicamente separata dal contenuto. Ogni passaggio di questo tipo di crittografia utilizza Advanced Encryption Standard (AES) con chiavi a 256 bit ed è conforme ai criteri FIPS (Federal Information Processing Standard) 140-2. Il contenuto crittografato viene distribuito in molti contenitori in tutto il data center e ogni contenitore ha credenziali univoche. Queste credenziali vengono archiviate in una posizione fisica separata dal contenuto o dalle chiavi del contenuto.

Per altre informazioni sulla conformità FIPS 140-2, vedere Conformità FIPS 140-2.

La crittografia a livello di file inattivi sfrutta l'archiviazione BLOB per garantire la crescita dell'archiviazione e consentire una protezione senza precedenti. Viene eseguita la migrazione di tutto il contenuto dei clienti in OneDrive e SharePoint nell'archiviazione BLOB. Ecco come vengono protetti i dati:

  1. Tutto il contenuto viene crittografato, potenzialmente con più chiavi, e distribuito nel data center. Ogni file da archiviare viene suddiviso in uno o più blocchi, a seconda delle dimensioni. Successivamente, ogni blocco viene crittografato mediante la relativa chiave univoca. Gli aggiornamenti vengono gestiti in modo analogo: il set di modifiche o delta inviato da un utente viene suddiviso in blocchi e ognuno di questi blocchi viene crittografato con la sua chiave.

  2. Tutti questi blocchi, ovvero file, blocchi di file e aggiornamento delta, verranno archiviati come BLOB nell'archiviazione BLOB. Inoltre vengono casualmente distribuiti in più contenitori BLOB.

  3. La "mappa" usata per riassemblare il file dai relativi componenti viene archiviata nel database del contenuto.

  4. Ogni contenitore BLOB ha credenziali univoche per ogni tipo di accesso (lettura, scrittura, enumerazione ed eliminazione). Ogni set di credenziali è conservato nell'archivio chiavi protetto e viene regolarmente aggiornato.

In altre parole, sono disponibili tre tipi diversi di archivi necessari per la crittografia per file inattiva, ognuna con una funzione distinta:

  • Il contenuto viene archiviato come BLOB crittografati nell'archiviazione BLOB. La chiave di ogni blocco di contenuto è crittografata e conservata separatamente nel database del contenuto. Il contenuto stesso non contiene alcuna indicazione su come può essere decrittografato.

  • Il database del contenuto è un database SQL Server. Contiene la mappa necessaria per individuare e riassemblare tutti i BLOB di contenuto contenuti contenuti nell'archivio BLOB e le chiavi necessarie per decrittografare tali BLOB.

Ognuno di questi tre componenti di archiviazione, ovvero l'archiviazione BLOB, il database del contenuto e l'archivio chiavi, è separato fisicamente. Le informazioni contenute in uno dei componenti sono inutilizzabili da sole. Questa strategia offre un livello di sicurezza senza precedenti. Senza l'accesso a tutti e tre è impossibile recuperare le chiavi ai blocchi, decrittografare le chiavi per renderle utilizzabili, associare le chiavi ai blocchi corrispondenti, decrittografare qualsiasi blocco o ricostruire un documento dai blocchi costitutivi.