Recomendações para criptografia de dados
Aplica-se à recomendação da lista de verificação de segurança bem arquitetada: Power Platform
| SE:06 | Criptografe dados usando métodos modernos padrão do setor para proteger a confidencialidade e a integridade. Alinhe o escopo da criptografia com classificações de dados; priorize métodos de criptografia de plataforma nativa. |
|---|
Se não estiverem protegidos, os dados poderão ser modificados de maneira mal-intencionada, o que acarreta perda de integridade e confidencialidade.
Esse guia descreve as recomendações para criptografar e proteger os dados. Criptografia é o processo de usar algoritmos de criptografia para deixar os dados ilegíveis e bloquear os dados com uma chave. No estado criptografado, os dados não podem ser decifrados. Eles só podem ser descriptografados usando uma chave emparelhada com a chave de criptografia.
Definições
| Terms | Definição |
|---|---|
| Certificados | Arquivos digitais que contêm as chaves públicas de criptografia ou descriptografia. |
| Descriptografia | O processo no qual os dados criptografados são desbloqueados com um código secreto. |
| Criptografia | O processo pelo qual os dados são tornados ilegíveis e bloqueados com um código secreto. |
| Teclas | Um código secreto usado para bloquear ou desbloquear dados criptografados. |
Estratégias-chave de design
Mandatos organizacionais ou requisitos regulatórios podem impor mecanismos de criptografia. Por exemplo, talvez haja um requisito de que os dados só permaneçam na região selecionada e as cópias dos dados sejam mantidas nessa região.
Esses requisitos costumam ser o mínimo básico. Busque um nível mais alto de proteção. Você é responsável por evitar vazamentos de confidencialidade e adulteração de dados confidenciais, sejam dados de usuários externos ou dados de funcionário.
Os dados são o ativo mais valioso e insubstituível de uma organização, e a criptografia serve como a última e mais forte linha de defesa em uma estratégia de segurança de dados em várias camadas. Microsoft Os serviços e produtos de nuvem empresarial usam criptografia para proteger os dados do cliente e ajudar você a manter o controle sobre eles.
Cenários de criptografia
É possível que os mecanismos de criptografia precisem proteger os dados em três estágios:
Dados em repouso são todas as informações mantidas em objetos de armazenamento. Por padrão, Microsoft armazena e gerencia a chave de criptografia do banco de dados para seus ambientes usando uma chave Microsoftgerenciada. No entanto, o Power Platform fornece uma chave de criptografia gerenciada pelo cliente (CMK) tendo em vista mais controle da proteção de dados, em que você pode autogerenciar a chave de criptografia do banco de dados.
Dados em processamento são dados que estão sendo usados como parte de um cenário interativo ou quando um processo em segundo plano, como uma atualização, os afeta. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados armazenados na memória não são criptografados.
Dados em trânsito são informações transferidas entre componentes, locais ou programas. O Azure usa protocolos de transporte padrão do setor, como o Transport camada Security (TLS), entre dispositivos de usuários e data centers, e dentro dos próprios data centers. Microsoft
Mecanismos de criptografia nativos
Por padrão, Microsoft armazena e gerencia a chave de criptografia do banco de dados para seus ambientes usando uma chave Microsoftgerenciada. No entanto, o Power Platform fornece uma chave de criptografia gerenciada pelo cliente (CMK) para maior controle de proteção de dados, onde você pode autogerenciar a chave de criptografia do banco de dados. A chave de criptografia reside em seu próprio cofre de chaves do Azure, o que permite que você gire ou troque a chave de criptografia sob demanda. Ele também permite que você impeça o acesso de Microsoft aos seus dados de cliente quando você revoga o acesso principal aos nossos serviços a qualquer momento.
Chaves de criptografia
Por padrão, os serviços usam chaves de criptografia gerenciadas pelo Power Platform para criptografar e descriptografar dados. Microsoft O Azure é responsável pelo gerenciamento de chaves.
Você pode optar por chaves gerenciadas pelo cliente. O Power Platform continua usando as chaves, mas você é responsável pelas operações-chave.
Facilitação do Power Platform
As seções a seguir descrevem recursos e capacidades do Power Platform que você pode usar para criptografar os dados.
Chave gerenciada pelo cliente
Todos os dados do cliente armazenados em Power Platform são criptografados usando uma chave de criptografia forte gerenciada por padrão. Microsoft As organizações com requisitos de privacidade de dados e conformidade para proteger os dados e gerenciar as próprias chaves podem usar a capacidade-chave gerenciada pelo cliente. A chave gerenciada pelo cliente oferece proteção de dados adicional na qual você autogerencia a chave de criptografia de dados associada ao ambiente do Dataverse. O uso dessa capacidade permite a você fazer a rotação ou trocar as chaves de criptografia sob demanda. Além disso, impede que você acesse seus dados quando revoga a chave do serviço. Microsoft Para obter mais informações, consulte Gerenciar sua chave de criptografia gerenciada pelo cliente.
Residência de dados
O locatário do Azure Active Directory (Azure AD) hospeda informações relevantes para uma organização e sua segurança. Quando um locatário do Azure AD se inscreve para serviços do Power Platform, o país ou a região selecionada do locatário é mapeada para a geografia do Azure mais adequada onde uma implantação do Power Platform existe. O Power Platform armazena dados do cliente na geografia do Azure atribuída ao locatário ou localização geográfica, exceto quando as organizações implantam serviços em várias regiões.
Os serviços do Power Platform estão disponíveis em geografias específicas do Azure. Para obter mais informações sobre onde Power Platform os serviços estão disponíveis, onde seus dados são armazenados e como eles são usados, consulte o Microsoft Centro de Confiabilidade. Os compromissos relativos à localização dos dados do cliente em repouso são especificados nos Termos de Processamento de Dados dos Microsoft Termos dos Serviços Online. Microsoft também fornece data centers para entidades soberanas.
O acesso a Copilot Studio recursos de IA generativa de regiões fora dos Estados Unidos resulta em movimentação de dados através de fronteiras regionais. Essa movimentação de dados pode ser habilitada e desabilitada no Power Platform. Saiba mais em Regiões envolvidas com copilotos e recursos de IA generativa. A residência de dados geográficos no Microsoft Copilot Studio fornece uma estrutura robusta para garantir a segurança dos dados e a conformidade com as regulamentações locais. Além de seus próprios recursos de segurança nativos, Copilot Studio aproveita a infraestrutura do Azure para fornecer opções de residência de dados seguras e compatíveis. Saiba mais sobre residência de dados e Copilot Studio em Residência de dados geográficos em Copilot Studio e Segurança e residência de dados geográficos em Copilot Studio.
Dados inativos
Salvo indicação em contrário na documentação, os dados do cliente permanecem em sua fonte original (por exemplo, Dataverse ou SharePoint). Todos os dados persistidos por Power Platform são criptografados por padrão usando chaves gerenciadas por Microsoft.
Dados em processamento
Os dados estão em processamento quando estão sendo usados como parte de um cenário interativo ou quando um processo em segundo plano, como atualização, toca esses dados. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados armazenados na memória não são criptografados.
Dados em trânsito
O Power Platform requer que todo o tráfego HTTP de entrada seja criptografado usando TLS 1.2 ou superior. As solicitações que tentam usar o TLS 1.1 ou inferior são rejeitadas.
Para obter mais informações, consulte Sobre criptografia de dados no Power Platform e Armazenamento de dados e governança no Power Platform.
Informações relacionadas
- Sobre criptografia de dados
- Armazenamento de dados e governança em Power Platform
- Power Platform Perguntas frequentes sobre segurança
- Gerencie sua chave de criptografia gerenciada pelo cliente
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.