Aanbevelingen voor gegevensversleuteling
Geldt voor de aanbeveling van de Well-Architected Security-checklist: Power Platform
| ZOO:06 | Versleutel gegevens met behulp van moderne, industriestandaard methoden om de vertrouwelijkheid en integriteit te bewaken. Stem het versleutelingsbereik af op de gegevensclassificaties, geef prioriteit aan native platformversleutelingsmethoden. |
|---|
Als uw gegevens niet worden beschermd, kunnen deze kwaadwillig worden gewijzigd, wat leidt tot verlies van integriteit en vertrouwelijkheid.
In deze guide worden de aanbevelingen beschreven voor het versleutelen en beschermen van uw gegevens. Versleuteling is het proces waarbij cryptografische algoritmen worden gebruikt om de gegevens onleesbaar te maken en de gegevens te vergrendelen met een sleutel. In de versleutelde staat kunnen gegevens niet worden ontcijferd. Ze kunnen alleen worden gedecodeerd met behulp van een sleutel die is gekoppeld aan de versleutelingssleutel.
Definities
| Voorwaarden | Definitie |
|---|---|
| Certificaten | Digitale bestanden die de openbare sleutels bevatten voor versleuteling of ontsleuteling. |
| Ontsleuteling | Het proces waarbij versleutelde gegevens worden ontgrendeld met een geheime code. |
| Versleuteling | Het proces waarbij gegevens onleesbaar worden gemaakt en worden vergrendeld met een geheime code. |
| Toetsen | Een geheime code die wordt gebruikt om versleutelde gegevens te vergrendelen of ontgrendelen. |
Belangrijke ontwerpstrategieën
Organisatorische mandaten of wettelijke vereisten kunnen versleutelingsmechanismen afdwingen. Er kan bijvoorbeeld een vereiste zijn dat gegevens alleen in de geselecteerde regio mogen blijven en dat kopieën van de gegevens in die regio worden bewaard.
Deze vereisten vormen vaak het basisminimum. Streef naar een hoger beschermingsniveau. U bent verantwoordelijk voor het voorkomen van vertrouwelijkheidslekken en het knoeien met gevoelige gegevens, of het nu gaat om externe gebruikersgegevens of werknemersgegevens.
Gegevens zijn het meest waardevolle en onvervangbare bezit van een organisatie en versleuteling dient als de laatste en sterkste verdedigingslinie in een meerlagige strategie voor gegevensbeveiliging. De zakelijke cloudservices en -producten van Microsoft gebruiken versleuteling om klantgegevens te beschermen en u te helpen de controle erover te behouden.
Versleutelingsscenario's
Versleutelingsmechanismen moeten de gegevens vaak in drie fasen beveiligen:
Gegevens in rust zijn alle gegevens die in opslagobjecten worden bewaard. Standaard bewaart en beheert Microsoft de database-encryptiesleutel voor uw omgevingen, met behulp van een door Microsoft beheerde sleutel. Power Platform biedt echter een door de klant beheerde encryptiesleutel (CMK) voor extra controle over gegevensbescherming, waarbij u de versleutelingssleutel voor de database zelf kunt beheren.
Gegevens in verwerking zijn gegevens die worden gebruikt als onderdeel van een interactief scenario, of wanneer een achtergrondproces, zoals een vernieuwing, ermee in aanraking komt. Power Platform laadt in verwerking zijnde gegevens in de geheugenruimte van een of meer serviceworkloads. Om de functionaliteit van de workload te vergemakkelijken, worden gegevens die in het geheugen zijn opgeslagen niet versleuteld.
Gegevens in transit zijn gegevens die worden overgedragen tussen componenten, locaties of programma's. Azure gebruikt transportprotocollen volgens de industriestandaard, zoals Transport Layer Security (TLS) tussen gebruikersapparaten en Microsoft-datacentra, en binnen datacentra zelf.
Native versleutelingsmechanismen
Standaard bewaart en beheert Microsoft de database-encryptiesleutel voor uw omgevingen, met behulp van een door Microsoft beheerde sleutel. Power Platform biedt echter een door de klant beheerde encryptiesleutel (CMK) voor extra controle over gegevensbescherming, waarbij u de database-encryptiesleutel zelf kunt beheren. De encryptiesleutel bevindt zich in uw eigen Azure-sleutelkluis, waarmee u de encryptiesleutel op verzoek kunt roteren of verwisselen. Hiermee kunt u ook de toegang van Microsoft tot uw klantgegevens voorkomen wanneer u de sleuteltoegang tot onze services op elk gewenst moment intrekt.
Versleutelingssleutels
Standaard, gebruiken Power Platform-services door Microsoft beheerde versleutelingssleutels om gegevens te versleutelen en te ontsleutelen. Azure is verantwoordelijk voor het sleutelbeheer.
U kunt voor door de klant beheerde sleutels kiezen. Power Platform gebruikt nog steeds uw sleutels, maar u bent verantwoordelijk voor de belangrijkste handelingen.
Power Platform-facilitering
In de volgende secties worden Power Platform-functies en -mogelijkheden beschreven die u kunt gebruiken om uw gegevens te versleutelen.
Door klant beheerde sleutel
Alle klantgegevens opgeslagen in Power Platform worden standaard met een sterke door Microsoft beheerde versleutelingssleutel versleuteld. Organisaties met vereisten op het gebied van gegevensprivacy- en compliane om hun gegevens te beveiligen en hun eigen sleutels te beheren, kunnen de door de klant beheerde sleutelmogelijkheid gebruiken. De door de klant beheerde sleutel biedt extra bescherming van persoonsgegevens waarbij u zelf de versleutelingssleutel voor gegevens beheert die aan uw Dataverse-omgeving is gekoppeld. Met deze mogelijkheid kunt u versleutelingssleutels op verzoek roteren of verwisselen. Het voorkomt ook dat Microsoft toegang heeft tot uw gegevens wanneer u de sleutel van de service intrekt. Zie voor meer informatie Uw door de klant beheerde encryptiesleutel beheren.
Gegevensresidentie
Een Azure Active Directory (Azure AD)-tenant bevat informatie die relevant is voor een organisatie en de beveiliging ervan. Wanneer een Azure AD-tenant zich aanmeldt voor Power Platform-services, wordt geselecteerde land/regio van de tenant toegewezen aan de meest geschikte Azure-geografie waar een Power Platform-implementatie bestaat. Power Platform slaat klantgegevens op in de toegewezen Azure-geografie ofwel thuisgeo van de tenant, behalve waar organisaties services in meerdere regio's implementeren.
Power Platform-services zijn beschikbaar in specifieke geografische Azure-gebieden. Zie Microsoft Trust Center voor meer informatie over waar Power Platform-services beschikbaar zijn, waar uw gegevens worden opgeslagen en hoe deze worden gebruikt. Toezeggingen over de locatie van data-at-rest van klanten zijn te vinden in de voorwaarden voor gegevensverwerking van de voorwaarden voor Microsoft Online Services. Microsoft biedt ook datacenters voor onafhankelijke entiteiten.
Het benaderen van generatieve AI-functies vanuit regio's buiten de Verenigde Staten resulteert in het verplaatsen van gegevens over regionale grenzen heen. Copilot Studio Deze gegevensverplaatsing kan worden in- en uitgeschakeld in Power Platform. Meer informatie vindt u in Regio's die betrokken zijn bij copiloten en generatieve AI-functies. Geografische gegevensresidentie in Microsoft Copilot Studio biedt een robuust raamwerk om gegevensbeveiliging en naleving van lokale regelgeving te waarborgen. Naast de eigen beveiligingsfuncties maakt Copilot Studio gebruik van de Azure-infrastructuur om veilige en conforme opties voor gegevensresidentie te bieden. Lees meer over gegevensresidentie en Copilot Studio in geografische gegevensresidentie in Copilot Studio en beveiliging en geografische gegevensresidentie in Copilot Studio.
Data-at-rest
Tenzij anders vermeld in de documentatie, blijven klantgegevens in de oorspronkelijke bron (bijvoorbeeld Dataverse of SharePoint). Alle gegevens bewaard door Power Platform worden standaard versleuteld met door Microsoft beheerde sleutels.
Gegevens in verwerking
Gegevens zijn in verwerking wanneer ze worden gebruikt als onderdeel van een interactief scenario of wanneer een achtergrondproces, zoals het vernieuwen, deze gegevens raakt. Power Platform laadt in verwerking zijnde gegevens in de geheugenruimte van een of meer serviceworkloads. Om de functionaliteit van de workload te vergemakkelijken, worden gegevens die in het geheugen zijn opgeslagen niet versleuteld.
Gegevens in transit
Power Platform vereist dat al het inkomende HTTP-verkeer wordt versleuteld met TLS 1.2 of hoger. Verzoeken die TLS 1.1 of lager proberen te gebruiken, worden afgewezen.
Voor meer informatie, zie Over gegevensversleuteling in Power Platform en Gegevensopslag en -beheer in Power Platform.
Gerelateerde informatie
- Over gegevensversleuteling
- Gegevensopslag en -beheer in Power Platform
- Power Platform Veelgestelde vragen over beveiliging
- Uw door de klant beheerde versleutelingssleutel beheren
Controlelijst voor beveiliging
Raadpleeg de volledige reeks aanbevelingen.