Compartilhar via


Criptografia para SharePoint e OneDrive, Microsoft Teams e Exchange

O Microsoft 365 é um ambiente altamente seguro que oferece ampla proteção em várias camadas: segurança do data center físico, segurança de rede, segurança de acesso, segurança do aplicativo e segurança de dados.

SharePoint e OneDrive

Todos os arquivos de cliente no SharePoint são protegidos por chaves exclusivas por arquivo que são sempre exclusivas para um único locatário. As chaves são criadas e gerenciadas pelo serviço do SharePoint ou quando a Chave do Cliente é usada, criada e gerenciada pelos clientes. Quando um arquivo é carregado, a criptografia é executada pelo SharePoint no contexto da solicitação de upload, antes de ser enviada para o armazenamento do Azure. Quando um arquivo é baixado, o SharePoint recupera os dados criptografados do cliente do armazenamento do Azure com base no identificador de documento exclusivo e descriptografa os dados do cliente antes de enviá-los ao usuário. O armazenamento do Azure não tem capacidade de descriptografar ou mesmo identificar ou entender os dados do cliente. Toda criptografia e descriptografia ocorrem nos mesmos sistemas que impõem o isolamento do locatário, que são Microsoft Entra ID e SharePoint.

Várias cargas de trabalho no Microsoft 365 armazenam dados no SharePoint, incluindo o Microsoft Teams, que armazena todos os arquivos no SharePoint e no OneDrive, que usa o SharePoint para seu armazenamento. Todos os dados do cliente armazenados no SharePoint são criptografados (com uma ou mais chaves de 256 bits do AES) e distribuídos no datacenter da seguinte maneira. (Cada etapa desse processo de criptografia é validada fips 140-2 nível 2. Para obter informações adicionais sobre a conformidade fips 140-2, consulte CONFORMIDADE FIPS 140-2.)

  • Cada arquivo é dividido em uma ou mais partes, dependendo do tamanho do arquivo. Cada parte é criptografada usando sua própria chave exclusiva do AES de 256 bits.

  • Quando um arquivo é atualizado, a atualização é tratada da mesma forma: a alteração é dividida em um ou mais partes e cada parte é criptografada com uma chave exclusiva separada.

  • Esses pedaços – arquivos, pedaços de arquivos e deltas de atualização – são armazenados como blobs no armazenamento do Azure que são distribuídos aleatoriamente em várias contas de armazenamento do Azure.

  • O conjunto de chaves de criptografia para essas partes de dados do cliente é criptografado.

    • As chaves usadas para criptografar os blobs são armazenadas no Banco de Dados de Conteúdo do SharePoint.
    • O Banco de Dados de Conteúdo é protegido por controles de acesso de banco de dados e criptografia em repouso. A criptografia é executada usando o TDE (Transparent Data Encryption) no Banco de Dados SQL do Azure. (SQL do Azure Banco de Dados é um serviço de banco de dados relacional de uso geral no Microsoft Azure que dá suporte a estruturas como dados relacionais, JSON, espacial e XML.) Esses segredos estão no nível de serviço do SharePoint, não no nível do locatário. Esses segredos (às vezes chamados de chaves master) são armazenados em um repositório seguro separado chamado Key Store. O TDE fornece segurança em repouso para o banco de dados ativo e os backups de banco de dados e logs de transações.
    • Quando os clientes fornecem a chave opcional, a chave do cliente é armazenada no Azure Key Vault e o serviço usa a chave para criptografar uma chave de locatário, que é usada para criptografar uma chave do site, que é usada para criptografar as chaves do nível do arquivo. Essencialmente, uma nova hierarquia de chave é introduzida quando o cliente fornece uma chave.
  • O mapa usado para re-montar o arquivo é armazenado no Banco de Dados de Conteúdo junto com as chaves criptografadas, separadamente da chave master necessária para descriptografá-los.

  • Cada conta de armazenamento do Azure tem suas próprias credenciais exclusivas por tipo de acesso (leitura, gravação, enumeração e exclusão). Cada conjunto de credenciais é mantido no Repositório de Chaves seguro e atualizado regularmente. Conforme descrito acima, há três tipos diferentes de repositórios, cada um com uma função distinta:

    • Os dados do cliente são armazenados como blobs criptografados no armazenamento do Azure. A chave para cada parte dos dados do cliente é criptografada e armazenada separadamente no Banco de Dados de Conteúdo. Os dados do cliente em si não têm nenhuma pista de como eles podem ser descriptografados.
    • O banco de dados de conteúdo é um banco de dados do SQL Server. Ele contém o mapa necessário para localizar e remontar os blobs de dados do cliente mantidos no armazenamento do Azure e as chaves necessárias para criptografar esses blobs. No entanto, o conjunto de chaves é criptografado (conforme explicado acima) e mantido em um Repositório de Chaves separado.
    • O Key Store é fisicamente separado do Banco de Dados de Conteúdo e do Armazenamento do Azure. Ele contém as credenciais de cada contêiner de armazenamento do Azure e a chave master para o conjunto de chaves criptografadas mantidas no Banco de Dados de Conteúdo.

Cada um desses três componentes de armazenamento – o repositório de blobs do Azure, o Banco de Dados de Conteúdo e o Repositório de Chaves – está fisicamente separado. As informações contidas nesses componentes por si só não são utilizáveis. Sem acesso aos três, é impossível recuperar as chaves dos pedaços, descriptografar as chaves para torná-las utilizáveis, associar as chaves com seus pedaços correspondentes, descriptografar cada parte ou reconstruir um documento de suas partes constituintes.

Os certificados BitLocker, que protegem os volumes de disco físico em computadores no datacenter, são armazenados em um repositório seguro (o repositório secreto do SharePoint) protegido pela chave farm.

As chaves TDE que protegem as chaves por blob são armazenadas em dois locais:

  • O repositório seguro, que abriga os certificados BitLocker e é protegido pela Chave do Farm; E
  • Em um repositório seguro gerenciado por SQL do Azure Banco de Dados.

As credenciais usadas para acessar os contêineres de armazenamento do Azure também são mantidas no repositório de segredos do SharePoint e delegadas a cada farm do SharePoint, conforme necessário. Essas credenciais são assinaturas SAS de armazenamento do Azure, com credenciais separadas usadas para ler ou gravar dados e com a política aplicada para que expirem automaticamente a cada 60 dias. Credenciais diferentes são usadas para ler ou gravar dados (não ambos) e as fazendas do SharePoint não recebem permissões para enumerar.

Observação

Para Office 365 clientes do governo dos EUA, os blobs de dados são armazenados no Armazenamento do Governo dos EUA do Azure. Além disso, o acesso às chaves do SharePoint no Office 365 governo dos EUA é limitado a Office 365 funcionários que foram especificamente exibidos. A equipe de operações do Governo dos EUA do Azure não tem acesso ao repositório de chaves do SharePoint usado para criptografar blobs de dados.

Para obter mais informações sobre criptografia de dados no SharePoint e no OneDrive, consulte Criptografia de Dados no SharePoint e no OneDrive.

Listar itens no SharePoint

Itens de lista são partes menores de dados do cliente que são criados ad-hoc ou que podem viver mais dinamicamente dentro de um site, como linhas em uma lista criada pelo usuário, postagens individuais em um blog do SharePoint ou entradas em uma página wiki do SharePoint. Os itens de lista são armazenados no Banco de Dados de Conteúdo (banco de dados SQL do Azure) e protegidos com TDE.

Criptografia de dados em trânsito

No OneDrive e no SharePoint, há dois cenários em que os dados entram e saem dos datacenters.

  • Comunicação do cliente com o servidor – A comunicação com o SharePoint e o OneDrive na Internet usa conexões TLS.
  • Movimentação de dados entre datacenters – O principal motivo para mover dados entre datacenters é a replicação geográfica para habilitar a recuperação de desastres. Por exemplo, os logs de transação e os deltas de armazenamento de blobs do SQL Server passam por esse pipe. Embora esses dados já sejam transmitidos usando uma rede privada, eles são ainda mais protegidos com a criptografia mais recomendada da classe.

Exchange

O Exchange usa o BitLocker para todos os dados da caixa de correio e a configuração do BitLocker é descrita no BitLocker for Encryption. A criptografia no nível do serviço criptografa todos os dados da caixa de correio no nível da caixa de correio.

Além da criptografia de serviço, o Microsoft 365 dá suporte à Chave do Cliente, que é criada com base na criptografia de serviço. Customer Key é uma opção de chave gerenciada pela Microsoft para criptografia de serviço do Exchange que também está no Roteiro da Microsoft. Esse método de criptografia fornece maior proteção não oferecida pelo BitLocker porque fornece a separação dos administradores do servidor e as chaves criptográficas necessárias para descriptografia de dados e porque a criptografia é aplicada diretamente aos dados (em contraste com o BitLocker, que aplica criptografia no volume de disco lógico) todos os dados do cliente copiados de um servidor exchange permanecem criptografados.

O escopo da criptografia de serviço do Exchange são dados de cliente armazenados em repouso no Exchange.

Microsoft Teams

O Teams usa TLS e MTLS para criptografar mensagens instantâneas. Todo o tráfego de servidor para servidor requer MTLS, independentemente de o tráfego estar confinado à rede interna ou cruzar o perímetro de rede interno.

Esta tabela resume os protocolos usados pelo Teams.

Tipo de tráfego Criptografado por
Servidor para servidor MTLS
Cliente a servidor (ex. mensagens instantâneas e presença) TLS
Fluxos de mídia (ex. compartilhamento de áudio e vídeo da mídia) TLS
Compartilhamento de áudio e vídeo de mídia SRTP/TLS
Sinalização TLS

Criptografia da mídia

O tráfego de mídia é criptografado usando SRTP, um perfil de protocolo RTP que fornece confidencialidade, autenticação e proteção contra ataque de repetição para o tráfego RTP. O SRTP usa uma chave de sessão gerada usando um gerador de número aleatório seguro e é trocada usando o canal TLS de sinalização. O tráfego de mídia cliente a cliente é negociado por meio de uma sinalização de conexão cliente a servidor, mas é criptografado usando SRTP ao ir cliente a cliente diretamente.

O Teams usa um token baseado em credenciais para acesso seguro a retransmissões de mídia por TURN. Os retransmissões de mídia trocam o token por um canal protegido pelo TLS.

FIPS

O Teams usa algoritmos compatíveis com FIPS (Federal Information Processing Standard) para trocas de chaves de criptografia. Para obter mais informações sobre a implementação do FIPS, consulte Publicação 140-2 do Federal Information Processing Standard (FIPS).