Saiba mais sobre a chave disponibilidade da Chave de Cliente
A chave de disponibilidade é uma chave raiz gerada e aprovisionada automaticamente quando cria uma política de encriptação de dados. O Microsoft 365 armazena e protege a chave de disponibilidade. A chave de disponibilidade é funcionalmente semelhante às duas chaves de raiz que fornece para a Chave de Cliente. A chave de disponibilidade molda as chaves uma camada inferior na hierarquia de chaves. Ao contrário das chaves que fornece e gere no Azure Key Vault, não pode aceder diretamente à chave de disponibilidade. Os serviços automatizados do Microsoft 365 gerem a chave de disponibilidade programaticamente. Estes serviços iniciam operações automatizadas que nunca envolvem o acesso direto à chave de disponibilidade.
O principal objetivo da chave de disponibilidade é fornecer a capacidade de recuperação da perda inesperada de chaves de raiz que gere. A perda pode ser resultado de má gestão ou ação maliciosa. Se perder o controlo das chaves raiz, contacte Suporte da Microsoft para obter assistência com o processo de recuperação com a chave de disponibilidade. Utilize a chave de disponibilidade para migrar para uma nova Política de Encriptação de Dados com novas chaves de raiz que aprovisionar.
O armazenamento e o controlo da chave de disponibilidade são deliberadamente diferentes das chaves de Key Vault do Azure por três motivos:
- A chave de disponibilidade fornece uma capacidade de "break-glass" de recuperação se o controlo sobre ambas as chaves de Key Vault do Azure for perdido.
- A separação dos controlos lógicos e das localizações de armazenamento seguras fornece defesa em profundidade e protege contra a perda de todas as chaves, bem como os seus dados, de um único ataque ou ponto de falha.
- A chave de disponibilidade fornece uma capacidade de elevada disponibilidade se os serviços do Microsoft 365 não conseguirem aceder às chaves alojadas no Azure Key Vault devido a erros transitórios. Esta regra aplica-se apenas à encriptação do serviço Exchange. O Microsoft SharePoint e o OneDrive nunca utilizam a chave de disponibilidade, a menos que indique explicitamente à Microsoft para iniciar o processo de recuperação.
Partilhar a responsabilidade de proteger os seus dados através de várias proteções e processos de gestão de chaves reduz, em última análise, o risco de todas as chaves (e, portanto, os seus dados) serem permanentemente perdidas ou destruídas. A Microsoft fornece-lhe a única autoridade sobre a desativação ou destruição da chave de disponibilidade quando sai do serviço. Por predefinição, ninguém na Microsoft tem acesso à chave de disponibilidade: só é acessível pelo código de serviço do Microsoft 365.
Para obter mais informações sobre como protegemos as chaves, visite o Centro de Confiança da Microsoft.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Windows 365 suporte para a Chave de Cliente do Microsoft Purview está em pré-visualização pública e está sujeito a alterações.
Utilização da chave de disponibilidade
A chave de disponibilidade fornece capacidade de recuperação para cenários em que um malfeitor externo ou um utilizador interno malicioso rouba o controlo do seu cofre de chaves ou quando a má gestão inadvertida resulta na perda de chaves de raiz. Esta capacidade de recuperação aplica-se a todos os serviços do Microsoft 365 compatíveis com a Chave de Cliente. Os serviços individuais utilizam a chave de disponibilidade de forma diferente. O Microsoft 365 utiliza apenas a chave de disponibilidade das formas descritas nas secções seguintes.
Exchange
Além da capacidade de recuperação, o Exchange utiliza a chave de disponibilidade para garantir a disponibilidade dos dados durante problemas operacionais transitórios ou intermitentes, relacionados com o acesso do serviço às chaves de raiz. Quando o serviço não consegue aceder a nenhuma das Chaves de Cliente no Azure Key Vault devido a erros transitórios, o serviço utiliza automaticamente a chave de disponibilidade. O serviço NUNCA acede diretamente à chave de disponibilidade.
Os sistemas automatizados no Exchange podem utilizar a chave de disponibilidade durante erros transitórios. A utilização da chave de disponibilidade suporta serviços de back-end automatizados, como antivírus, deteção de e-mails, Prevenção Contra Perda de Dados do Microsoft Purview, movimentações de caixas de correio e indexação de dados.
SharePoint e OneDrive
Para o SharePoint amd OneDrive, a chave de disponibilidade NUNCA é utilizada fora da capacidade de recuperação. Tem de instruir explicitamente a Microsoft a utilizar a chave de disponibilidade durante um cenário de recuperação. As operações de serviço automatizadas dependem exclusivamente das Chaves de Cliente no Azure Key Vault. Para obter informações aprofundadas sobre como funciona a hierarquia de chaves para estes serviços, consulte Como o SharePoint e o OneDrive utilizam a chave de disponibilidade.
Segurança da chave de disponibilidade
A Microsoft partilha consigo a responsabilidade da proteção de dados ao instanciar a chave de disponibilidade e ao tomar medidas abrangentes para a proteger. A Microsoft não expõe o controlo direto da chave de disponibilidade aos clientes. Por exemplo, só pode rodar (rodar) as chaves que possui no Azure Key Vault. Para obter mais informações, veja Roll or rotate a Customer Key or an availability key (Roll or rotate a Customer Key or an availability key).
Arquivos secretos da chave de disponibilidade
A Microsoft protege as chaves de disponibilidade em arquivos secretos internos controlados pelo acesso, como o Azure destinado ao cliente Key Vault. Implementamos controlos de acesso para impedir que os administradores da Microsoft acedam diretamente aos segredos contidos no . As operações do Arquivo de Segredos, incluindo a rotação e eliminação de chaves, ocorrem através de comandos automatizados que nunca envolvem o acesso direto à chave de disponibilidade. As operações de gestão de arquivos secretos estão limitadas a engenheiros específicos e requerem escalamento de privilégios através de uma ferramenta interna, o Lockbox. O escalamento de privilégios requer a aprovação e justificação do gestor antes de ser concedido. O Lockbox garante que o acesso está vinculado ao tempo com a revogação automática de acesso após a expiração ou o engenheiro terminar sessão.
As chaves de disponibilidade do Exchange são armazenadas num arquivo de segredos do Exchange Active Directory. As chaves de disponibilidade são armazenadas de forma segura dentro de contentores específicos do inquilino no Controlador de Domínio do Active Directory. Esta localização de armazenamento segura está separada e isolada do arquivo de segredos do SharePoint e do OneDrive.
As chaves de disponibilidade do SharePoint e do OneDrive são armazenadas num arquivo de segredos interno gerido pela equipa de serviço. Este serviço de armazenamento de segredos protegido tem servidores front-end com pontos finais de aplicação e um Banco de Dados SQL como back-end. As chaves de disponibilidade são armazenadas no Banco de Dados SQL. As chaves de encriptação do arquivo de segredos encapsulam (encriptar) as chaves de disponibilidade. As chaves do arquivo de segredos utilizam uma combinação de AES-256 e HMAC para encriptar a chave de disponibilidade inativa. As chaves de encriptação do arquivo de segredos são armazenadas num componente logicamente isolado da mesma Banco de Dados SQL e são encriptadas com chaves RSA-2048 contidas em certificados geridos pela autoridade de certificação (AC) da Microsoft. Estes certificados são armazenados nos servidores front-end do arquivo secreto que executam operações na base de dados.
Defesa em profundidade
A Microsoft utiliza uma estratégia de defesa em profundidade para impedir que atores maliciosos afetem a confidencialidade, integridade ou disponibilidade dos dados dos clientes armazenados na Microsoft Cloud. São implementados controlos preventivos e detectives específicos para proteger o arquivo de segredos e a chave de disponibilidade como parte da estratégia de segurança abrangente.
O Microsoft 365 foi concebido para evitar a utilização indevida da chave de disponibilidade. A camada da aplicação é o único método através do qual as chaves, incluindo a chave de disponibilidade, podem ser utilizadas para encriptar e desencriptar dados. Apenas o código de serviço do Microsoft 365 tem a capacidade de interpretar e percorrer a hierarquia de chaves para atividades de encriptação e desencriptação. Existe isolamento lógico entre as localizações de armazenamento de Chaves de Cliente, chaves de disponibilidade, outras chaves hierárquicas e dados do cliente. Este isolamento mitiga o risco de exposição de dados no caso de uma ou mais localizações ficarem comprometidas. Cada camada na hierarquia tem capacidades de deteção de intrusões 24 x 7 incorporadas para proteger dados e segredos armazenados.
Os controlos de acesso são implementados para impedir o acesso não autorizado a sistemas internos, incluindo arquivos de segredos de chave de disponibilidade. Os engenheiros da Microsoft não têm acesso direto aos arquivos de segredos das chaves de disponibilidade. Para obter mais detalhes sobre os controlos de acesso, veja Controlos de Acesso Administrativo no Microsoft 365.
Os controlos técnicos impedem que o pessoal da Microsoft inicie sessão em contas de serviço altamente privilegiadas, que de outra forma podem ser utilizadas por atacantes para representar serviços Microsoft. Por exemplo, estes controlos impedem o início de sessão interativo.
Os controlos de monitorização e registo de segurança são outra salvaguarda de defesa em profundidade implementada que mitiga o risco para os serviços Microsoft e os seus dados. As equipas de serviço da Microsoft implementam soluções de monitorização ativas que geram alertas e registos de auditoria. Todas as equipas de serviço carregam os registos para um repositório central onde os registos são agregados e processados. As ferramentas internas examinam automaticamente os registos para confirmar que os serviços estão a funcionar num estado ideal, resiliente e seguro. A atividade invulgar é sinalizada para revisão adicional.
Qualquer evento de registo que indique uma possível violação da Política de Segurança da Microsoft é imediatamente levado à atenção das equipas de segurança da Microsoft. A segurança do Microsoft 365 configurou alertas para detetar tentativas de acesso a arquivos secretos de chaves de disponibilidade. Os alertas também são gerados se o pessoal da Microsoft tentar iniciar sessão interativo em contas de serviço, o que é proibido e protegido por controlos de acesso. A segurança do Microsoft 365 também deteta e alertas após desvios do serviço Microsoft 365 das operações de linha de base normais. Os malfeitores que tentam utilizar indevidamente os serviços do Microsoft 365 desencadeariam alertas que resultam na expulsão do infractor do ambiente de cloud da Microsoft.
Utilizar a chave de disponibilidade para recuperar da perda de chaves
Se perder o controlo das Chaves de Cliente, a chave de disponibilidade fornece-lhe a capacidade de recuperar e voltar a encriptar os seus dados.
Procedimento de recuperação para o Exchange
Se perder o controlo das Chaves de Cliente, a chave de disponibilidade dá-lhe a capacidade de recuperar os seus dados e colocar os seus recursos do Microsoft 365 afetados novamente online. A chave de disponibilidade continua a proteger os seus dados enquanto recupera. A um nível elevado, para recuperar totalmente da perda de chaves, crie um novo DEP e mova os recursos afetados para a nova política.
Para encriptar os seus dados com novas Chaves de Cliente, crie novas chaves no Azure Key Vault, crie um novo DEP com as novas Chaves de Cliente e, em seguida, atribua o novo DEP às caixas de correio atualmente encriptadas com o DEP anterior para o qual as chaves são perdidas ou comprometidas.
Este processo de reencriptação pode demorar até 72 horas e é a duração padrão quando altera um DEP.
Procedimento de recuperação para o SharePoint e o OneDrive
Para o SharePoint e o OneDrive, a chave de disponibilidade NUNCA é utilizada fora da capacidade de recuperação. Tem de instruir explicitamente a Microsoft para iniciar a utilização da chave de disponibilidade durante um cenário de recuperação. Para iniciar o processo de recuperação, contacte a Microsoft para ativar a chave de disponibilidade. Depois de ativada, a chave de disponibilidade é utilizada automaticamente para desencriptar os seus dados, permitindo-lhe encriptar os dados com um DEP recentemente criado associado a novas Chaves de Cliente.
Esta operação é proporcional ao número de sites na sua organização. Depois de ligar à Microsoft para utilizar a chave de disponibilidade, deverá estar totalmente online dentro de cerca de quatro horas.
Como o Exchange utiliza a chave de disponibilidade
Quando cria um DEP com a Chave de Cliente, o Microsoft 365 gera uma Chave de Política de Encriptação de Dados (Chave DEP) associada a esse DEP. O serviço encripta a Chave DEP três vezes: uma com cada uma das chaves do cliente e outra com a chave de disponibilidade. Apenas as versões encriptadas da Chave DEP são armazenadas e uma Chave DEP só pode ser desencriptada com as chaves de cliente ou a chave de disponibilidade. Em seguida, a Chave DEP é utilizada para encriptar Chaves de Caixa de Correio, que encriptam caixas de correio individuais.
O Microsoft 365 segue este processo para desencriptar e fornecer dados quando os clientes estão a utilizar o serviço:
Desencripte a Chave DEP com a Chave de Cliente.
Utilize a Chave DEP desencriptada para desencriptar uma Chave de Caixa de Correio.
Utilize a Chave de Caixa de Correio desencriptada para desencriptar a própria caixa de correio, permitindo-lhe aceder aos dados na caixa de correio.
Como o SharePoint e o OneDrive utilizam a chave de disponibilidade
A arquitetura e implementação do SharePoint e do OneDrive para a Chave de Cliente e a chave de disponibilidade são diferentes do Exchange.
Quando uma organização muda para chaves geridas pelo cliente, o Microsoft 365 cria uma chave intermédia específica da organização (TIK). O Microsoft 365 encripta a TIK duas vezes, uma vez com cada uma das chaves de cliente, e armazena as duas versões encriptadas do TIK. Apenas as versões encriptadas do TIK são armazenadas e uma TIK só pode ser desencriptada com as chaves do cliente. Em seguida, o TIK é utilizado para encriptar chaves de site, que são depois utilizadas para encriptar chaves de blob (também denominadas chaves de segmento de ficheiro). Consoante o tamanho do ficheiro, o serviço pode dividir um ficheiro em vários segmentos de ficheiro cada um com uma chave exclusiva. Os blobs (segmentos de ficheiros) são encriptados com as chaves de blob e armazenados no serviço de armazenamento de Blobs do Microsoft Azure.
O Microsoft 365 segue este processo para desencriptar e fornecer ficheiros de clientes quando os clientes estão a utilizar o serviço:
Desencripte o TIK com a Chave de Cliente.
Utilize o TIK desencriptado para desencriptar uma chave de site.
Utilize a chave de site desencriptada para desencriptar uma chave de blob.
Utilize a chave de blob desencriptada para desencriptar o blob.
O Microsoft 365 desencripta um TIK ao emitir dois pedidos de desencriptação para o Azure Key Vault com um ligeiro desvio. O primeiro a terminar fornece o resultado, cancelando o outro pedido.
Caso perca o acesso às chaves, o Microsoft 365 também encripta o TIK com uma chave de disponibilidade e armazena estas informações juntamente com os TIKs encriptados com cada Chave de Cliente. O TIK encriptado com a chave de disponibilidade só é utilizado quando chama a Microsoft para inscrever o caminho de recuperação quando perde o acesso às chaves, maliciosamente ou acidentalmente.
Por motivos de disponibilidade e dimensionamento, as TIKs desencriptadas são colocadas em cache numa cache de memória limitada no tempo. Duas horas antes de uma cache TIK expirar, o Microsoft 365 tenta desencriptar cada TIK. A desencriptação dos TIKs prolonga a duração da cache. Se a desencriptação do TIK falhar durante um período de tempo significativo, o Microsoft 365 gera um alerta para notificar a engenharia antes da expiração da cache. O Microsoft 365 só inicia a operação de recuperação se chamar, o que envolve desencriptar o TIK com a chave de disponibilidade armazenada no arquivo de segredos da Microsoft e integrar novamente o inquilino utilizando o TIK desencriptado e um novo conjunto de chaves de Key Vault do Azure fornecidas pelo cliente.
A partir de hoje, a Chave de Cliente está envolvida na cadeia de encriptação e desencriptação de dados de ficheiros do SharePoint armazenados no arquivo de blobs do Azure, mas não nos metadados ou itens de lista do SharePoint armazenados no Banco de Dados SQL. O Microsoft 365 não utiliza a chave de disponibilidade para o Exchange, SharePoint e OneDrive, para além do caso descrito, que é iniciado pelo cliente. O acesso humano aos dados do cliente está protegido pelo Sistema de Proteção de Dados do Cliente.
Acionadores de chave de disponibilidade
O Microsoft 365 aciona a chave de disponibilidade apenas em circunstâncias específicas. Estas circunstâncias diferem por serviço.
Acionadores para o Exchange
O Microsoft 365 lê o DEP ao qual a caixa de correio é atribuída para determinar a localização das duas Chaves de Cliente no Azure Key Vault.
O Microsoft 365 escolhe aleatoriamente uma das duas Chaves de Cliente do DEP e envia um pedido ao Azure Key Vault para desembrulhar a chave DEP com a Chave de Cliente.
Se o pedido para desembrulhar a chave DEP com a Chave de Cliente falhar, o Microsoft 365 envia um segundo pedido ao Azure Key Vault, desta vez instruindo-o a utilizar a (segunda) Chave de Cliente alternativa.
Se o segundo pedido para desembrulhar a chave DEP com a Chave de Cliente falhar, o Microsoft 365 examinará os resultados de ambos os pedidos.
Se o exame determinar que os pedidos falharam ao devolver um ERRO do sistema:
O Microsoft 365 aciona a chave de disponibilidade para desencriptar a chave DEP.
Em seguida, o Microsoft 365 utiliza a chave DEP para desencriptar a chave da caixa de correio e concluir o pedido do utilizador.
Neste caso, o Azure Key Vault não consegue responder ou inacessível devido a um ERRO transitório.
Se o exame determinar que os pedidos falharam ao devolver ACESSO NEGADO:
Esta devolução significa que foram tomadas medidas deliberadas, inadvertidas ou maliciosas para tornar as chaves de cliente indisponíveis (por exemplo, durante o processo de remoção de dados como parte da saída do serviço).
Neste caso, a chave de disponibilidade destina-se apenas a ações do sistema e não a ações do utilizador, o pedido do utilizador falha e o utilizador recebe uma mensagem de erro.
Importante
O código de serviço do Microsoft 365 tem sempre um token de início de sessão válido para fundamentar os dados do cliente para fornecer serviços cloud de valor acrescentado. Por conseguinte, até que a chave de disponibilidade tenha sido eliminada, pode ser utilizada como contingência para ações iniciadas pelo Exchange ou internos, como a criação de índices de pesquisa ou a movimentação de caixas de correio. Isto aplica-se aos erros transitórios e aos pedidos DE ACESSO NEGADO ao Azure Key Vault.
Acionadores para o SharePoint e OneDrive
Para o OneDrive do SharePoint amd, a chave de disponibilidade NUNCA é utilizada fora da capacidade de recuperação e os clientes têm de instruir explicitamente a Microsoft para iniciar a utilização da chave de disponibilidade durante um cenário de recuperação.
Registos de auditoria e a chave de disponibilidade
Os sistemas automatizados no Microsoft 365 processam todos os dados à medida que fluem através do sistema para fornecer serviços cloud, por exemplo, antivírus, deteção de dados eletrónicos, prevenção de perda de dados e indexação de dados. O Microsoft 365 não gera registos visíveis para este cliente para esta atividade. Além disso, o pessoal da Microsoft não acede aos seus dados como parte destas operações normais do sistema.
Registo de chaves de disponibilidade do Exchange
Quando o Exchange acede à chave de disponibilidade para fornecer o serviço, o Microsoft 365 publica registos visíveis para o cliente acessíveis a partir do portal de Segurança e Conformidade. É gerado um registo de auditoria para a operação da chave de disponibilidade sempre que o serviço utiliza a chave de disponibilidade. Um novo tipo de registo denominado "Encriptação do Serviço de Chave de Cliente" com o tipo de atividade "Contingência para a Chave de Disponibilidade" permite aos administradores filtrar os resultados da pesquisa do Registo de Auditoria Unificado para ver registos de chaves de disponibilidade.
Os registos incluem atributos como data, hora, atividade, ID da organização e ID da política de encriptação de dados. O registo está disponível como parte dos Registos de Auditoria Unificados e está acessível a partir do portal de conformidade do Microsoft Purview separador Pesquisa de Registos de Auditoria.
Os registos de chave de disponibilidade do Exchange utilizam o esquema comum da Atividade de Gestão do Microsoft 365 com parâmetros personalizados adicionados: ID da Política, ID da Versão da Chave de Âmbito e ID do Pedido.
Registo de chaves de disponibilidade do SharePoint e do OneDrive
O registo de chaves de disponibilidade ainda não está disponível para estes serviços. Para o SharePoint e o OneDrive, a Microsoft apenas ativa a chave de disponibilidade para fins de recuperação quando lhe for instruído. Como resultado, já sabe todos os eventos em que a chave de disponibilidade é utilizada para estes serviços.
Chave de disponibilidade na hierarquia da Chave de Cliente
O Microsoft 365 utiliza a chave de disponibilidade para encapsular a camada de chaves mais abaixo na hierarquia de chaves estabelecida para a encriptação do serviço de Chave de Cliente. Existem diferentes hierarquias de chaves entre serviços. Os algoritmos-chave também diferem entre chaves de disponibilidade e outras chaves na hierarquia de cada serviço aplicável. Os algoritmos de chave de disponibilidade utilizados pelos diferentes serviços são os seguintes:
As chaves de disponibilidade do Exchange utilizam AES-256.
As chaves de disponibilidade do SharePoint e do OneDrive utilizam RSA-2048.
Cifras de encriptação utilizadas para encriptar chaves para o Exchange
Cifras de encriptação utilizadas para encriptar chaves para o SharePoint
