Шифрование для SharePoint и OneDrive, Microsoft Teams и Exchange
Microsoft 365 — это высокозащищенная среда, которая обеспечивает обширную защиту на нескольких уровнях: безопасность физического центра обработки данных, сетевая безопасность, безопасность доступа, безопасность приложений и безопасность данных.
SharePoint и OneDrive
Все клиентские файлы в SharePoint защищены уникальными ключами для каждого файла, которые всегда являются эксклюзивными для одного клиента. Ключи создаются и управляются службой SharePoint или когда ключ клиента используется, создается и управляется клиентами. При отправке файла SharePoint выполняет шифрование в контексте запроса на отправку перед отправкой в службу хранилища Azure. При скачивании файла SharePoint извлекает зашифрованные данные клиентов из хранилища Azure на основе уникального идентификатора документа и расшифровывает данные клиента перед отправкой пользователю. Служба хранилища Azure не может расшифровывать или даже идентифицировать или понимать данные клиента. Все шифрование и расшифровка выполняются в одних и том же системах, которые обеспечивают изоляцию клиента, которые являются Microsoft Entra ID и SharePoint.
Несколько рабочих нагрузок в Microsoft 365 хранят данные в SharePoint, включая Microsoft Teams, в которой хранятся все файлы в SharePoint, и OneDrive, который использует SharePoint для хранения. Все данные клиентов, хранящиеся в SharePoint, шифруются (с одним или несколькими 256-разрядными ключами AES) и распределяются по центру обработки данных следующим образом. (Каждый шаг этого процесса шифрования проверяется fips 140-2 уровня 2. Дополнительные сведения о соответствии FIPS 140-2 см. в разделе Соответствие FIPS 140-2.)
Каждый файл разбивается на один или несколько блоков в зависимости от размера файла. Каждый блок шифруется с помощью собственного уникального 256-разрядного ключа AES.
При обновлении файла обновление обрабатывается таким же образом: изменение разбивается на один или несколько блоков, и каждый блок шифруется с помощью отдельного уникального ключа.
Эти блоки — файлы, фрагменты файлов и изменения обновлений — хранятся в хранилище Azure в виде BLOB-объектов, которые случайным образом распределены между несколькими учетными записями хранения Azure.
Набор ключей шифрования для этих блоков данных клиента сам шифруется.
- Ключи, используемые для шифрования больших двоичных объектов, хранятся в базе данных контента SharePoint.
- База данных контента защищена средствами управления доступом к базе данных и шифрованием неактивных данных. Шифрование выполняется с помощью прозрачного шифрования данных (TDE) в базе данных Azure SQL. (база данных Azure SQL — это служба реляционных баз данных общего назначения в Microsoft Azure, которая поддерживает такие структуры, как реляционные данные, JSON, пространственные данные и XML.) Эти секреты находятся на уровне обслуживания SharePoint, а не на уровне клиента. Эти секреты (иногда называемые ключами master) хранятся в отдельном безопасном репозитории, называемом хранилищем ключей. TDE обеспечивает безопасность неактивных баз данных и резервных копий базы данных, а также журналов транзакций.
- Когда клиенты предоставляют необязательный ключ, ключ клиента хранится в azure Key Vault, а служба использует его для шифрования ключа клиента, который используется для шифрования ключа сайта, который затем используется для шифрования ключей на уровне файлов. По сути, новая иерархия ключей вводится, когда клиент предоставляет ключ.
Карта, используемая для повторной сборки файла, хранится в базе данных содержимого вместе с зашифрованными ключами отдельно от ключа master, необходимого для их расшифровки.
Каждая учетная запись хранения Azure имеет собственные уникальные учетные данные для каждого типа доступа (чтение, запись, перечисление и удаление). Каждый набор учетных данных содержится в безопасном хранилище ключей и регулярно обновляется. Как описано выше, существует три разных типа хранилищ, каждое из которых имеет отдельную функцию:
- Данные клиентов хранятся в виде зашифрованных BLOB-объектов в хранилище Azure. Ключ к каждому фрагменту данных клиента шифруется и хранится отдельно в базе данных контента. Данные клиента сами по себе не имеют представления о том, как их можно расшифровать.
- База данных контента это база данных SQL Server. Он содержит карту, необходимую для поиска и повторного объединения больших двоичных объектов данных клиента, хранящиеся в хранилище Azure, и ключей, необходимых для шифрования этих BLOB-объектов. Однако сам набор ключей шифруется (как описано выше) и хранится в отдельном хранилище ключей.
- Хранилище ключей физически отделяется от Базы данных контента и хранилища Azure. Он содержит учетные данные для каждого контейнера хранилища Azure и ключ master набор зашифрованных ключей, хранящиеся в Базе данных контента.
Каждый из этих трех компонентов хранилища — хранилище BLOB-объектов Azure, база данных контента и хранилище ключей — физически отделен. Информация, хранящаяся в каждом из компонентов, не может использоваться самостоятельно. Без доступа ко всем трем фрагментам невозможно получить ключи к блокам, расшифровать ключи, чтобы сделать их пригодными для использования, связать ключи с соответствующими блоками, расшифровать каждый блок или воссоздать документ из его составляющих фрагментов.
Сертификаты BitLocker, которые защищают тома физических дисков на компьютерах в центре обработки данных, хранятся в безопасном репозитории (хранилище секретов SharePoint), защищенном ключом фермы.
Ключи TDE, которые защищают ключи blob-объектов, хранятся в двух местах:
- Безопасный репозиторий, который содержит сертификаты BitLocker и защищен ключом фермы; И
- В безопасном репозитории, управляемом Azure SQL Database.
Учетные данные, используемые для доступа к контейнерам хранилища Azure, также хранятся в хранилище секретов SharePoint и по мере необходимости делегируются каждой ферме SharePoint. Эти учетные данные представляют собой подписи SAS службы хранилища Azure, с отдельными учетными данными, используемыми для чтения или записи данных, а также с политикой, применяемой для автоматического истечения срока действия каждые 60 дней. Различные учетные данные используются для чтения или записи данных (не оба), а фермам SharePoint не предоставляются разрешения на перечисление.
Примечание.
Для клиентов Office 365 для государственных организаций США большие двоичные объекты хранятся в хранилище Azure для государственных организаций США. Кроме того, доступ к ключам SharePoint в Office 365 правительства США ограничен Office 365 сотрудниками, которые были специально проверены. Сотрудники Azure для государственных организаций США не имеют доступа к хранилищу ключей SharePoint, которое используется для шифрования больших двоичных объектов данных.
Дополнительные сведения о шифровании данных в SharePoint и OneDrive см. в статье Шифрование данных в SharePoint и OneDrive.
Элементы списка в SharePoint
Элементы списка — это небольшие блоки данных клиентов, которые создаются нерегламентированно или могут более динамически жить на сайте, например строки в созданном пользователем списке, отдельные публикации в блоге SharePoint или записи на вики-странице SharePoint. Элементы списка хранятся в базе данных контента (Azure SQL базе данных) и защищаются с помощью TDE.
Шифрование транзитных данных
В OneDrive и SharePoint существует два сценария, в которых данные попадают в центры обработки данных и выходят из них.
- Взаимодействие клиента с сервером . Связь с SharePoint и OneDrive через Интернет использует tls-подключения.
- Перемещение данных между центрами обработки данных . Основная причина перемещения данных между центрами обработки данных — георепликация для обеспечения аварийного восстановления. Например, SQL Server журналы транзакций и разностные данные хранилища BLOB-объектов перемещаются по этому каналу. Хотя эти данные уже передаются через частную сеть, они дополнительно защищены с помощью лучшего в своем классе шифрования.
Exchange
Exchange использует BitLocker для всех данных почтовых ящиков, а конфигурация BitLocker описана в разделе BitLocker для шифрования. Шифрование на уровне службы шифрует все данные почтового ящика на уровне почтового ящика.
Помимо шифрования служб, Microsoft 365 поддерживает ключ клиента, который основан на шифровании служб. Ключ клиента — это управляемый корпорацией Майкрософт параметр ключа для шифрования службы Exchange, который также входит в дорожную карту Майкрософт. Этот метод шифрования обеспечивает повышенную защиту, не обеспечиваемую BitLocker, так как он обеспечивает разделение администраторов сервера и криптографических ключей, необходимых для расшифровки данных, и поскольку шифрование применяется непосредственно к данным (в отличие от BitLocker, который применяет шифрование на томе логического диска), все данные клиента, скопированные с сервера Exchange Server, остаются зашифрованными.
Область для шифрования службы Exchange — это данные клиентов, которые хранятся в exchange.
Microsoft Teams
Teams использует TLS и MTLS для шифрования мгновенных сообщений. Для всего трафика между серверами требуется mtls, независимо от того, ограничен ли трафик внутренней сетью или пересекает периметр внутренней сети.
В этой таблице перечислены протоколы, используемые Teams.
| Тип трафика | Зашифровано с помощью |
|---|---|
| Межсерверное соединение | MTLS |
| Подключение клиента к серверу (например, обмен мгновенными сообщениями и присутствие) | TLS; |
| Потоки мультимедиа (например, общий доступ к аудио- и видео) | TLS; |
| Общий доступ к аудио- и видеофайлам мультимедиа | SRTP/TLS |
| Передача сигналов | TLS; |
Шифрование мультимедиа
Трафик мультимедиа шифруется с помощью secure RTP (SRTP), профиля Real-Time транспортного протокола (RTP), который обеспечивает конфиденциальность, проверку подлинности и защиту от атак воспроизведения для трафика RTP. SRTP использует ключ сеанса, созданный с помощью безопасного генератора случайных чисел, и обменивается с помощью сигнального канала TLS. Трафик мультимедиа между клиентом и клиентом согласовывается через передачу сигналов о подключении между клиентом и сервером, но шифруется с помощью SRTP при переходе между клиентом напрямую.
Teams использует маркер на основе учетных данных для безопасного доступа к ретрансляторам мультимедиа через TURN. Ретрансляторы мультимедиа обмениваются маркером через защищенный TLS-канал.
FIPS
Teams использует алгоритмы, совместимые с FIPS (Federal Information Processing Standard), для обмена ключами шифрования. Дополнительные сведения о реализации FIPS см. в публикации 140-2 Федерального стандарта обработки информации (FIPS).