Recomendações para a encriptação de dados
Aplica-se à Power Platform recomendação da lista de verificação de segurança bem arquitetada:
| SE:06 | Encripte dados utilizando métodos modernos e padrão da indústria para proteger a confidencialidade e a integridade. Alinhe o âmbito da encriptação com as classificações de dados; priorize os métodos de encriptação da plataforma nativa. |
|---|
Se os seus dados não estiverem protegidos, podem ser modificados de forma maliciosa, o que leva à perda de integridade e confidencialidade.
Este guia descreve as recomendações para encriptar e proteger os seus dados. A encriptação é o processo de utilização de algoritmos de encriptação para tornar os dados ilegíveis e bloqueá-los com uma chave. No estado encriptado, os dados não podem ser decifrados. Só podem ser desencriptados utilizando uma chave que está emparelhada com a chave de encriptação.
Definições
| Termos | Definição |
|---|---|
| Certificados | Ficheiros digitais que possuem as chaves públicas para encriptação ou desencriptação. |
| Desencriptação | O processo no qual os dados encriptados são desbloqueados com um código secreto. |
| Encriptação | O processo pelo qual os dados são tornados ilegíveis e bloqueados com um código secreto. |
| Chaves | Um código secreto utilizado para bloquear ou desbloquear dados encriptados. |
Principais estratégias de design
Mandatos da organização ou requisitos regulamentares podem impor mecanismos de encriptação. Por exemplo, pode haver um requisito de que os dados devem permanecer apenas na região selecionada e cópias dos dados são mantidas nessa região.
Estes requisitos constituem frequentemente o mínimo de base. Esforce-se por um nível de proteção mais elevado. É responsável por impedir fugas de confidencialidade e a adulteração de dados confidenciais, quer sejam dados de utilizadores externos ou dados de colaboradores.
Os dados são o ativo mais valioso e insubstituível de uma organização, e a encriptação serve como a última e mais forte linha de defesa numa estratégia de segurança de dados em várias camadas. Microsoft Os serviços e produtos Business Cloud utilizam encriptação para proteger os dados dos clientes e ajudá-lo a manter o controlo sobre os mesmos.
Cenários de encriptação
É provável que os mecanismos de encriptação protejam os dados em três fases:
Dados em repouso são todas as informações mantidas em objetos de armazenamento. Por padrão, Microsoft armazena e gerencia a chave de criptografia do banco de dados para seus ambientes usando uma Microsoft chave gerenciada. No entanto, o Power Platform fornece uma chave de encriptação gerida pelo cliente (CMK) para um controlo de proteção de dados adicionado, onde pode gerir por si próprio a chave de encriptação da base de dados.
Dados em processamento são dados que estão a ser usados como parte de um cenário interativo ou quando um processo em segundo plano, como uma atualização, toca nele. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados que são armazenados na memória não são encriptados.
Dados em trânsito são informações transferidas entre componentes, locais ou programas. O Azure usa protocolos de transporte padrão do setor, como TLS (Transport camada Security) entre dispositivos de utente e Microsoft data centers e dentro dos próprios data centers.
Mecanismos de encriptação nativos
Por padrão, Microsoft armazena e gerencia a chave de criptografia do banco de dados para seus ambientes usando uma Microsoft chave gerenciada. No entanto, o Power Platform fornece uma chave de encriptação gerida pelo cliente (CMK) para um controlo de proteção de dados adicionado, onde pode gerir por si próprio a chave de encriptação da base de dados. A chave de encriptação reside no seu próprio Azure Key Vault, o que lhe permite rodar ou trocar a chave de encriptação a pedido. Também lhe permite impedir Microsoft o acesso aos dados dos seus clientes quando revoga a chave de acesso aos nossos serviços a qualquer momento.
Chaves de encriptação
Por padrão, Power Platform os serviços usam Microsoft chaves de criptografia gerenciadas para criptografar e descriptografar dados. O Azure é responsável pela gestão das chaves.
Pode optar por chaves geridas pelo cliente. O Power Platform ainda utiliza as suas chaves, mas o utilizador é responsável pelas operações com as chaves.
Facilitação do Power Platform
As seguintes secções descrevem as funcionalidades e capacidades do Power Platform que pode utilizar para encriptar os seus dados.
Chave gerida pelo cliente
Todos os dados do cliente armazenados são Power Platform criptografados usando uma chave de criptografia fortemente Microsoft gerenciada por padrão. As organizações com requisitos de privacidade e conformidade de dados para proteger os respetivos dados e gerir as suas próprias chaves podem utilizar a capacidade de chave gerida pelo cliente. A chave gerida pelo cliente fornece uma proteção de dados adicional em que o utilizador gere a chave de encriptação de dados associada ao seu ambiente do Dataverse. A utilização desta capacidade permite-lhe rodar ou trocar chaves de encriptação a pedido. Além disso, impede Microsoft que você possa acessar seus dados quando você revoga a chave do serviço. Para obter mais informações, consulte Gerir a sua chave de encriptação gerida pelo cliente.
Residência dos dados
Um inquilino do Azure Active Directory (Azure AD) abriga informações relevantes para uma organização e sua segurança. Quando um inquilino do Azure AD se inscreve para serviços do Power Platform, o país ou região selecionado do inquilino é mapeado para a geografia do Azure mais adequada onde existe uma implementação do Power Platform. O Power Platform armazena dados de clientes na geografia do Azure atribuída pelo inquilino, ou geo base, exceto quando as organizações implementam serviços em várias regiões.
Os serviços do Power Platform estão disponíveis em geografias do Azure específicas. Para obter mais informações sobre onde Power Platform os serviços estão disponíveis, onde seus dados são armazenados e como eles são usados, consulte Microsoft Central de Confiabilidade. Os compromissos relativos à localização dos dados do cliente em repouso são especificados nos Termos de Processamento de Dados dos Microsoft Termos dos Serviços Online. Microsoft também fornece centros de dados para entidades soberanas.
O acesso a Copilot Studio recursos de IA generativa de regiões fora dos Estados Unidos resulta na movimentação de dados através das fronteiras regionais. Essa movimentação de dados pode ser ativada e desativada Power Platform. Saiba mais em Regiões envolvidas com copilots e recursos de IA generativa. A residência de dados geográficos fornece Microsoft Copilot Studio uma estrutura robusta para garantir a segurança dos dados e a conformidade com as regulamentações locais. Além de seus próprios recursos de segurança nativos, Copilot Studio aproveita a infraestrutura do Azure para fornecer opções de residência de dados seguras e compatíveis. Saiba mais sobre residência de dados e Copilot Studio em Residência de dados geográficos e Copilot Studio Segurança e residência de dados geográficos em Copilot Studio.
Dados inativos
Salvo indicação em contrário na documentação, os dados de clientes permanecem na sua origem original (por exemplo, Dataverse ou SharePoint). Todos os dados persistidos são Power Platform criptografados por padrão usando Microsoft chaves gerenciadas.
Dados em processamento
Os dados estão em processamento quando estão a ser utilizados ativamente como parte de um cenário interativo, ou quando um processo de fundo, como a atualização lhes toca. O Power Platform carrega dados em processamento no espaço de memória de uma ou mais cargas de trabalho de serviço. Para facilitar a funcionalidade da carga de trabalho, os dados que são armazenados na memória não são encriptados.
Dados em trânsito
O Power Platform requer que todo o tráfego HTTP de entrada seja encriptado utilizando TLS 1.2 ou superior. Os pedidos que tentem utilizar TLS 1.1 ou inferior são rejeitados.
Para obter mais informações, consulte Acerca da encriptação de dados no Power Platform e Armazenamento de dados e governação no Power Platform.
Informações relacionadas
- Sobre a criptografia de dados
- Armazenamento e governança de dados em Power Platform
- Power Platform perguntas frequentes sobre segurança
- Gerencie sua chave de criptografia gerenciada pelo cliente
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.