Riscos e proteções de criptografia
O Microsoft 365 segue uma arquitetura de controlo e conformidade que se foca nos riscos para o serviço e para os dados dos clientes. O serviço implementa um grande conjunto de tecnologias e métodos baseados em processos, referidos como controlos, para mitigar estes riscos. A identificação, avaliação e mitigação de riscos através de controlos é um processo contínuo.
A implementação de controlos dentro de camadas dos nossos serviços cloud, como instalações, rede, servidores, aplicações, utilizadores (como administradores da Microsoft) e dados formam uma estratégia de defesa em profundidade. A chave desta estratégia é que muitos controlos diferentes são implementados em diferentes camadas para proteger contra os mesmos cenários de risco ou cenários de risco semelhantes. Esta abordagem de várias camadas fornece proteção segura contra falhas no caso de um controlo falhar.
Alguns cenários de risco e as tecnologias de encriptação atualmente disponíveis que os mitigam estão listados nesta tabela. Em muitos casos, estes cenários também são mitigados por outros controlos implementados no Microsoft 365.
| Tecnologia de encriptação | Serviços | Gerenciamento-chave | Cenário de risco | Valor |
|---|---|---|---|---|
| BitLocker | Exchange e SharePoint | Microsoft | Os discos ou servidores são roubados ou reciclados incorretamente. | O BitLocker fornece uma abordagem segura contra falhas para proteger contra a perda de dados devido a hardware roubado ou reciclado incorretamente (servidor/disco). |
| Encriptação de serviço | SharePoint e OneDrive; Exchange | Microsoft | O hacker interno ou externo tenta aceder a ficheiros/dados individuais como um blob. | Os dados encriptados não podem ser desencriptados sem acesso a chaves. Ajuda a mitigar o risco de um hacker aceder aos dados. |
| Chave de Cliente | SharePoint, OneDrive e Exchange | Cliente | N/D (esta funcionalidade foi concebida como uma funcionalidade de conformidade; não como mitigação para qualquer risco.) | Ajuda os clientes a cumprir as obrigações internas de regulação e conformidade e a capacidade de sair do serviço e revogar o acesso da Microsoft aos dados |
| Transport Layer Security (TLS) entre o Microsoft 365 e os clientes | Exchange, SharePoint, OneDrive, Teams e Viva Engage | Microsoft, Cliente | Ataque man-in-the-middle ou outro para tocar no fluxo de dados entre o Microsoft 365 e os computadores cliente através da Internet. | Esta implementação fornece valor à Microsoft e aos clientes e garante a integridade dos dados à medida que flui entre o Microsoft 365 e o cliente. |
| TLS entre datacenters da Microsoft | Exchange, SharePoint e OneDrive | Microsoft | Ataque man-in-the-middle ou outro para tocar no fluxo de dados do cliente entre servidores do Microsoft 365 localizados em diferentes datacenters da Microsoft. | Esta implementação é outro método para proteger dados contra ataques entre datacenters da Microsoft. |
| Azure Rights Management (Azure RMS) (incluído no Microsoft 365 ou no Azure Proteção de Informações) | Exchange, SharePoint e OneDrive | Cliente | Os dados são colocados nas mãos de uma pessoa que não deveria ter acesso aos dados. | O Azure Proteção de Informações utiliza o Azure RMS, que fornece valor aos clientes através de políticas de encriptação, identidade e autorização para ajudar a proteger ficheiros e e-mails em vários dispositivos. O Azure RMS fornece opções de configuração nas quais todos os e-mails provenientes do Microsoft 365 que correspondam a determinados critérios (por exemplo, todos os e-mails para um determinado endereço) podem ser encriptados automaticamente antes de serem enviados para outro destinatário. |
| S/MIME | Exchange | Cliente | Uma pessoa que não seja o destinatário pretendido obteve um e-mail. | O S/MIME ajuda a garantir que apenas o destinatário pretendido pode desencriptar um e-mail encriptado. |
| Criptografia de Mensagem do Microsoft Purview | Exchange, SharePoint | Cliente | Uma pessoa que não seja o destinatário pretendido obteve um e-mail e os respetivos anexos protegidos. | A encriptação de mensagens permite-lhe configurar o seu inquilino para que os e-mails provenientes do Microsoft 365 que correspondam a determinados critérios (por exemplo, todos os e-mails para um determinado endereço) sejam encriptados automaticamente antes de serem enviados. |
| TLS do Protocolo SMTP (Simple Mail Transfer Protocol) com a organização parceira | Exchange | Cliente | Email é intercetado através de um ataque man-in-the-middle ou outro enquanto está em trânsito de um inquilino do Microsoft 365 para uma organização parceira. | Permite-lhe enviar e receber todos os e-mails entre o seu inquilino do Microsoft 365 e a organização de e-mail do seu parceiro dentro de um canal SMTP encriptado. |
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Tecnologias de encriptação disponíveis em ambientes multi-inquilino
| Tecnologia de encriptação | Implementado por | Algoritmo de troca de chaves e força | Gestão de chaves* | Normas Federais de Processamento de Informações (FIPS) 140-2 validadas |
|---|---|---|---|---|
| BitLocker | Exchange | Standard de Encriptação Avançada (AES) de 256 bits | A chave externa do AES é armazenada num cofre secreto e no registo do servidor Exchange. O cofre secreto é um repositório seguro que requer elevação e aprovações de alto nível para aceder. O acesso só pode ser pedido e aprovado através de uma ferramenta interna chamada Lockbox. A chave externa AES também é armazenada no Trusted Platform Module no servidor. Uma palavra-passe numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim |
| SharePoint | AES de 256 bits | A chave externa AES é armazenada num cofre secreto. O cofre secreto é um repositório seguro que requer elevação e aprovações de alto nível para aceder. O acesso só pode ser pedido e aprovado através de uma ferramenta interna chamada Lockbox. A chave externa AES também é armazenada no Trusted Platform Module no servidor. Uma palavra-passe numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim | |
| Skype for Business | AES de 256 bits | A chave externa AES é armazenada num cofre secreto. O cofre secreto é um repositório seguro que requer elevação e aprovações de alto nível para aceder. O acesso só pode ser pedido e aprovado através de uma ferramenta interna chamada Lockbox. A chave externa AES também é armazenada no Trusted Platform Module no servidor. Uma palavra-passe numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim | |
| Encriptação de serviço | SharePoint | AES de 256 bits | As chaves utilizadas para encriptar os blobs são armazenadas na Base de Dados de Conteúdos do SharePoint. A Base de Dados de Conteúdos do SharePoint está protegida por controlos de acesso à base de dados e encriptação inativa. A encriptação é efetuada através da encriptação de dados transparente (TDE) na Base de Dados SQL do Azure. Estes segredos estão ao nível do serviço do SharePoint, não ao nível do inquilino. Estes segredos (por vezes denominados chaves de master) são armazenados num repositório seguro separado chamado Arquivo de Chaves. A Encriptação de Dados Transparente fornece segurança inativa para a base de dados ativa e as cópias de segurança da base de dados e os registos de transações. Quando os clientes fornecem a chave opcional, a chave é armazenada no Azure Key Vault e o serviço utiliza a chave para encriptar uma chave de inquilino, que é utilizada para encriptar uma chave de site, que é depois utilizada para encriptar as chaves ao nível do ficheiro. Essencialmente, é introduzida uma nova hierarquia de chaves quando o cliente fornece uma chave. | Sim |
| Skype for Business | AES de 256 bits | Cada fragmento de dados é encriptado com uma chave de 256 bits gerada aleatoriamente diferente. A chave de encriptação é armazenada num ficheiro XML de metadados correspondente, que é encriptado por chave de master por conferência. A chave de master também é gerada aleatoriamente uma vez por conferência. | Sim | |
| Exchange | AES de 256 bits | Cada caixa de correio é encriptada através de uma política de encriptação de dados que utiliza chaves de encriptação controladas pela Microsoft ou pelo cliente (quando a Chave de Cliente é utilizada). | Sim | |
| TLS entre o Microsoft 365 e clientes/parceiros | Exchange | TLS oportunista que suporta vários conjuntos de cifras | O certificado TLS para o Exchange (outlook.office.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado de raiz TLS para o Exchange é um certificado de SHA1RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim, quando é utilizada a força da cifra do TLS 1.2 com 256 bits |
| SharePoint | TLS 1.2 com AES 256 Criptografia de dados no OneDrive e no SharePoint |
O certificado TLS para o SharePoint (*.sharepoint.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado de raiz TLS para o SharePoint é um certificado de SHA1RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| Microsoft Teams | TLS 1.2 com AES 256 Perguntas mais frequentes sobre o Microsoft Teams – Ajuda do Administração |
O certificado TLS para o Microsoft Teams (teams.microsoft.com, edge.skype.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado de raiz TLS para o Microsoft Teams é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| TLS entre datacenters da Microsoft | Todos os serviços do Microsoft 365 | TLS 1.2 com AES 256 Secure Real-time Transport Protocol (SRTP) |
A Microsoft utiliza uma autoridade de certificação gerida e implementada internamente para comunicações servidor a servidor entre datacenters da Microsoft. | Sim |
| Azure Rights Management (incluído no Microsoft 365 ou no Azure Proteção de Informações) | Exchange | Suporta o Modo Criptográfico 2, uma implementação criptográfica do RMS atualizada e melhorada. Suporta rsa 2048 para assinatura e encriptação, e SHA-256 para hash na assinatura. | Gerido pela Microsoft. | Sim |
| SharePoint | Suporta o Modo Criptográfico 2, uma implementação criptográfica do RMS atualizada e melhorada. Suporta o RSA 2048 para assinatura e encriptação e SHA-256 para assinatura. |
Gerido pela Microsoft, que é a predefinição; ou Gerida pelo cliente, que é uma alternativa às chaves geridas pela Microsoft. As organizações que têm uma subscrição do Azure gerida por TI podem utilizar o BYOK (Bring Your Own Key) e registar a sua utilização sem custos adicionais. Para obter mais informações, veja Implementar bring your own key (Implementar a sua própria chave). Nesta configuração, são utilizados nCipher Hardware Security Modules (HSMs) para proteger as chaves. |
Sim | |
| S/MIME | Exchange | Sintaxe de Mensagens Criptográficas Standard 1.5 (Standard de Criptografia de Chave Pública (PKCS) n.º 7) | Depende da infraestrutura de chave pública gerida pelo cliente implementada. O cliente gere as chaves e a Microsoft nunca tem acesso às chaves privadas utilizadas para assinar e desencriptar. | Sim, quando configurado para encriptar mensagens a enviar com 3DES ou AES256 |
| Criptografia de Mensagem do Microsoft Purview | Exchange | O mesmo que o Azure RMS (Modo Criptográfico 2 - RSA 2048 para assinatura e encriptação e SHA-256 para assinatura) | Utiliza o Azure Proteção de Informações como infraestrutura de encriptação. O método de criptografia usado depende do local que você obtém as chaves do RMS usadas para criptografar e descriptografar mensagens. | Sim |
| SMTP TLS com a organização parceira | Exchange | TLS 1.2 com AES 256 | O certificado TLS para o Exchange (outlook.office.com) é um SHA-256 de 2048 bits com certificado de encriptação RSA emitido pela DigiCert Serviços de Nuvem CA-1. O certificado de raiz TLS para o Exchange é um SHA-1 de 2048 bits com certificado de encriptação RSA emitido pela AC de Raiz GlobalSign – R1. Por motivos de segurança, os nossos certificados mudam de vez em quando. |
Sim, quando é utilizada a força da cifra do TLS 1.2 com 256 bits |
*Os certificados TLS referenciados nesta tabela destinam-se a datacenters dos EUA; Os datacenters não americanos também utilizam certificados de SHA256RSA de 2048 bits.
Tecnologias de encriptação disponíveis em ambientes da comunidade de cloud do Governo
| Tecnologia de Encriptação | Implementado por | Algoritmo de Troca de Chaves e Força | Gestão de Chaves* | FIPS 140-2 Validado |
|---|---|---|---|---|
| BitLocker | Exchange | AES de 256 bits | A chave externa do AES é armazenada num cofre secreto e no registo do servidor Exchange. O cofre secreto é um repositório seguro que requer elevação e aprovações de alto nível para aceder. O acesso só pode ser pedido e aprovado através de uma ferramenta interna chamada Lockbox. A chave externa AES também é armazenada no Trusted Platform Module no servidor. Uma palavra-passe numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim |
| SharePoint | AES de 256 bits | A chave externa AES é armazenada num cofre secreto. O cofre secreto é um repositório seguro que requer elevação e aprovações de alto nível para aceder. O acesso só pode ser pedido e aprovado através de uma ferramenta interna chamada Lockbox. A chave externa AES também é armazenada no Trusted Platform Module no servidor. Uma palavra-passe numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim | |
| Skype for Business | AES de 256 bits | A chave externa AES é armazenada num cofre secreto. O cofre secreto é um repositório seguro que requer elevação e aprovações de alto nível para aceder. O acesso só pode ser pedido e aprovado através de uma ferramenta interna chamada Lockbox. A chave externa AES também é armazenada no Trusted Platform Module no servidor. Uma palavra-passe numérica de 48 dígitos é armazenada no Active Directory e protegida pelo Lockbox. | Sim | |
| Encriptação de serviço | SharePoint | AES de 256 bits | As chaves utilizadas para encriptar os blobs são armazenadas na Base de Dados de Conteúdos do SharePoint. As Bases de Dados de Conteúdos do SharePoint estão protegidas por controlos de acesso à base de dados e encriptação inativa. A encriptação é efetuada com a Encriptação de Dados Transparente na Base de Dados SQL do Azure. Estes segredos estão ao nível do serviço do SharePoint, não ao nível do inquilino. Estes segredos (por vezes denominados chaves de master) são armazenados num repositório seguro separado chamado Arquivo de Chaves. A Encriptação de Dados Transparente fornece segurança inativa para a base de dados ativa e as cópias de segurança da base de dados e os registos de transações. Quando os clientes fornecem a chave opcional, a Chave de Cliente é armazenada no Azure Key Vault. O serviço utiliza a chave para encriptar uma chave de inquilino, que é utilizada para encriptar uma chave de site, que é depois utilizada para encriptar as chaves ao nível do ficheiro. Essencialmente, é introduzida uma nova hierarquia de chaves quando o cliente fornece uma chave. | Sim |
| Skype for Business | AES de 256 bits | Cada fragmento de dados é encriptado com uma chave de 256 bits gerada aleatoriamente diferente. A chave de encriptação é armazenada num ficheiro XML de metadados correspondente. Uma chave de master por conferência encripta este ficheiro XML. A chave de master também é gerada aleatoriamente uma vez por conferência. | Sim | |
| Exchange | AES de 256 bits | Cada caixa de correio é encriptada através de uma política de encriptação de dados que utiliza chaves de encriptação controladas pela Microsoft ou pelo cliente (quando a Chave de Cliente é utilizada). | Sim | |
| TLS entre o Microsoft 365 e clientes/parceiros | Exchange | TLS oportunista que suporta vários conjuntos de cifras | O certificado TLS para o Exchange (outlook.office.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado de raiz TLS para o Exchange é um certificado de SHA1RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim, quando é utilizada a força da cifra do TLS 1.2 com 256 bits |
| SharePoint | TLS 1.2 com AES 256 | O certificado TLS para o SharePoint (*.sharepoint.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado de raiz TLS para o SharePoint é um certificado de SHA1RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| Microsoft Teams | Perguntas mais frequentes sobre o Microsoft Teams – Ajuda do Administração | O certificado TLS para o Microsoft Teams (teams.microsoft.com; edge.skype.com) é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. O certificado de raiz TLS para o Microsoft Teams é um certificado de SHA256RSA de 2048 bits emitido pela Baltimore CyberTrust Root. |
Sim | |
| TLS entre datacenters da Microsoft | Exchange, SharePoint Skype for Business | TLS 1.2 com AES 256 | A Microsoft utiliza uma autoridade de certificação gerida e implementada internamente para comunicações servidor a servidor entre datacenters da Microsoft. | Sim |
| Secure Real-time Transport Protocol (SRTP) | ||||
| Serviço Azure Rights Management | Exchange | Suporta o Modo Criptográfico 2, uma implementação criptográfica do RMS atualizada e melhorada. Suporta rsa 2048 para assinatura e encriptação, e SHA-256 para hash na assinatura. | Gerido pela Microsoft. | Sim |
| SharePoint | Suporta o Modo Criptográfico 2, uma implementação criptográfica do RMS atualizada e melhorada. Suporta rsa 2048 para assinatura e encriptação, e SHA-256 para hash na assinatura. |
Gerido pela Microsoft, que é a predefinição; ou Gerido pelo cliente (também conhecido como BYOK), que é uma alternativa às chaves geridas pela Microsoft. As organizações que têm uma subscrição do Azure gerida por TI podem utilizar o BYOK e registar a sua utilização sem custos adicionais. Para obter mais informações, veja Implementar bring your own key (Implementar a sua própria chave). No cenário BYOK, os HSMs de nCipher são utilizados para proteger as chaves. |
Sim | |
| S/MIME | Exchange | Sintaxe de Mensagens Criptográficas Standard 1.5 (PKCS n.º 7) | Depende da infraestrutura de chave pública implementada. | Sim, quando configurado para encriptar mensagens a enviar com 3DES ou AES-256. |
| Criptografia de Mensagem do Office 365 | Exchange | O mesmo que o Azure RMS (Modo Criptográfico 2 - RSA 2048 para assinatura e encriptação e SHA-256 para hash na assinatura) | Utiliza o Azure RMS como infraestrutura de encriptação. O método de criptografia usado depende do local que você obtém as chaves do RMS usadas para criptografar e descriptografar mensagens. Se utilizar o Azure RMS para obter as chaves, será utilizado o Modo Criptográfico 2. Se você usar o Active Directory (AD) RMS para obter as chaves, o Modo Criptográfico 1 ou o Modo Criptográfico 2 será utilizado. O método utilizado depende de sua implantação do AD RMS no local. O Modo Criptográfico 1 é a implementação criptográfica original do AD RMS. Suporta rsa 1024 para assinatura e encriptação e suporta SHA-1 para assinatura. Todas as versões atuais do RMS suportam este modo, exceto as configurações BYOK que utilizam HSMs. |
Sim |
| SMTP TLS com a organização parceira | Exchange | TLS 1.2 com AES 256 | O certificado TLS para o Exchange (outlook.office.com) é um SHA-256 de 2048 bits com certificado de Encriptação RSA emitido pela DigiCert Serviços de Nuvem CA-1. O certificado de raiz TLS para o Exchange é um SHA-1 de 2048 bits com certificado de Encriptação RSA emitido pela AC de Raiz GlobalSign – R1. Por motivos de segurança, os nossos certificados mudam de vez em quando. |
Sim, quando é utilizado o TLS 1.2 com a força da cifra de 256 bits. |
*Os certificados TLS referenciados nesta tabela destinam-se a datacenters dos EUA; Os datacenters não americanos também utilizam certificados de SHA256RSA de 2048 bits.