Поделиться через

О шифровании данных

  • Статья

Данные — это самый ценный и незаменимый актив организации, а шифрование служит последней и самой надежной линией защиты в многоуровневой стратегии защиты данных. Microsoft Облачные сервисы и продукты для бизнеса используют шифрование для защиты данных клиентов и помогают вам сохранять контроль над ними.

Защита данных в состоянии хранения

Шифрование вашей информации делает ее нечитаемой для посторонних лиц, даже если они прорвутся через ваши брандмауэры, проникнут в вашу сеть, получат физический доступ к вашим устройствам или обойдут разрешения на вашем локальном компьютере. Шифрование преобразует данные таким образом, что доступ к ним может получить только тот, у кого есть ключ расшифровки.

Dynamics 365 использует гетерогенное хранилище (Dataverse) для хранения данных. Данные распределены по разным типам хранилищ:

  • База данных SQL Azure для реляционных данных
  • Хранилище BLOB-объектов Azure для двоичных данных, таких как изображения и документы
  • Поиск Azure для индексации поиска
  • Журнал действий Microsoft 365 и Azure Cosmos DB для данных аудита
  • Azure Data Lake для аналитики

Базы данных Dataverse используют SQL TDE (прозрачное шифрование данных, совместимое с FIPS 140-2) для обеспечения шифрования ввода-вывода в реальном времени и расшифровки данных и файлов журналов для шифрования данных в состоянии покоя. Шифрование хранилища Azure используется для данных, находящихся в состоянии покоя и хранящихся в хранилище BLOB-объектов Azure. Они шифруются и расшифровываются прозрачным образом с использованием 256-разрядного шифрования AES, совместимого с FIPS 140-2.

По умолчанию Microsoft хранит и управляет ключом шифрования базы данных для ваших сред с помощью Microsoftуправляемого ключа. Однако Power Platform предоставляет управляемый клиентом ключ шифрования (CMK) для дополнительного управления защитой данных, чтобы вы могли самостоятельно управлять ключом шифрования баз данных. Ключ шифрования находится в вашем собственном хранилище ключей Azure Key Vault, что позволяет вам менять ключ шифрования или проводить его ротацию по требованию. Это также позволяет вам предотвратить доступ Microsoft к вашим клиентским данным, когда вы в любое время отзываете ключевой доступ к нашим услугам.

Шифрование неактивных данных

Администраторы могут предоставить свой собственный ключ шифрования, используя собственное оборудование генератора ключей (HSM), или же использовать Azure Key Vault для генерации ключа шифрования. Функция управления ключами упрощает управление ключами шифрования, используя Azure Key Vault для безопасного хранения ключей шифрования. Azure Key Vault помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Ключи шифрования должны соответствовать следующим требованиям Azure Key Vault.

  • 2048-разрядный ключ RSA
  • HSM BYOK

Администраторы также могут в любое время отменить изменения преобразовать ключ шифрования обратно в Microsoft управляемый ключ.

Защита передаваемых данных

Azure защищает данные при передаче во внешние компоненты или из них, а также данные при внутренней передаче, например между двумя виртуальными сетями. Azure использует стандартные транспортные протоколы, такие как TLS, между пользовательскими устройствами и Microsoft центрами обработки данных, а также внутри самих центров обработки данных. Чтобы еще лучше защитить ваши данные, внутренняя связь между Microsoft службами осуществляется с использованием Microsoft магистральной сети и, следовательно, не отображается в общедоступном Интернете.

Microsoft использует несколько методов, протоколов и алгоритмов шифрования в своих продуктах и услугах, чтобы обеспечить безопасный путь передачи данных через инфраструктуру и защитить конфиденциальность данных, хранящихся в инфраструктуре. Microsoft использует одни из самых надежных и безопасных протоколов шифрования в отрасли, чтобы обеспечить защиту от несанкционированного доступа к вашим данным. Правильное управление ключами является важнейшим элементом передовой практики шифрования и Microsoft помогает гарантировать, что ключи шифрования надежно защищены.

Шифрование передаваемых данных

Примеры протоколов и технологий:

  • Transport Layer Security/Secure Sockets Layer (TLS/SSL), который использует симметричную криптографию на основе общего секрета для шифрования сообщений при их передаче по сети.
  • Безопасность интернет-протокола (IPsec) — стандартный набор протоколов, используемых для обеспечения аутентификации, целостности и конфиденциальности данных на уровне IP-пакетов при их передаче по сети.
  • Расширенный стандарт шифрования (AES)-256, спецификация Национального института стандартов и технологий (NIST) для шифрования данных с симметричным ключом, которая была принята правительством США для замены стандарта шифрования данных (DES) и технологии шифрования с открытым ключом RSA 2048.