Поделиться через

Шифрование данных в OneDrive и SharePoint

  • Статья

Основные элементы шифрования для защиты данных в OneDrive и SharePoint.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Безопасность и шифрование данных в Microsoft 365

Microsoft 365 — это высокозащищенная среда, которая обеспечивает обширную защиту на нескольких уровнях: безопасность физического центра обработки данных, сетевая безопасность, безопасность доступа, безопасность приложений и безопасность данных. В этой статье основное внимание уделяется передаче и неактивности шифрования данных в OneDrive и SharePoint.

Посмотрите видео о принципах шифрования данных.

Шифрование транзитных данных

В OneDrive и SharePoint существует два сценария, в которых данные попадают в центры обработки данных и выходят из них.

  • Взаимодействие клиента с сервером Обмен данными с OneDrive через Интернет использует подключения SSL/TLS. Все подключения TLS устанавливаются с помощью 2048-разрядных ключей.

  • Перемещение данных между центрами обработки данных Основная причина перемещения данных между центрами обработки данных — георепликация для обеспечения аварийного восстановления. Например, SQL Server журналы транзакций и разностные данные хранилища BLOB-объектов перемещаются по этому каналу. Хотя эти данные уже передаются через частную сеть, они дополнительно защищены с помощью лучшего в своем классе шифрования.

Шифрование статических данных

Шифрование статических включает два компонента: шифрование BitLocker на уровне диска и пофайловое шифрование клиентского контента.

BitLocker развертывается для OneDrive и SharePoint в службе. Шифрование на отдельный файл также используется в OneDrive и SharePoint в мультитенантных средах Microsoft 365 и новых выделенных средах, основанных на мультитенантных технологиях.

Хотя BitLocker шифрует все данные на диске, шифрование для каждого файла идет еще дальше, включая уникальный ключ шифрования для каждого файла. Кроме того, каждое обновление каждого файла шифруется с помощью собственного ключа шифрования. Ключи зашифрованного содержимого хранятся в физическом расположении, отдельном от содержимого. Каждый шаг этого шифрования использует расширенное Standard шифрования (AES) с 256-разрядными ключами и соответствует требованиям 140-2 Федеральной Standard обработки информации (FIPS). Зашифрованное содержимое распределяется между многими контейнерами в центре обработки данных, и каждый контейнер имеет уникальные учетные данные. Эти учетные данные хранятся в отдельном физическом расположении от содержимого или ключей содержимого.

Дополнительные сведения о соответствии FIPS 140-2 см. в разделе Соответствие FIPS 140-2.

Шифрование на уровне неактивных файлов использует хранилище BLOB-объектов, чтобы обеспечить рост хранилища и обеспечить беспрецедентную защиту. Все содержимое клиента в OneDrive и SharePoint переносится в хранилище BLOB-объектов. Вот как осуществляется защита данных:

  1. Все содержимое шифруется, возможно, с несколькими ключами и распространяется по центру обработки данных. Каждый хранимый файл разбивается на один или несколько блоков в зависимости от его размера. Затем каждый блок шифруется с использованием своего уникального ключа. Аналогичным образом происходит шифрование обновлений: пакеты изменений (дельты), отправляемые пользователем, разбиваются на блоки, каждый из которых шифруется собственным ключом.

  2. Все эти блоки (файлы, фрагменты файлов, дельты обновлений) сохраняются как большие двоичные объекты в хранилище больших двоичных объектов. Они также распределяются между несколькими контейнерами больших двоичных объектов.

  3. "Карта", используемая для повторного извлечения файла из его компонентов, хранится в базе данных контента.

  4. Каждый контейнер больших двоичных объектов использует собственные уникальные учетные данные для каждого типа доступа (на чтение, запись, перечисление и удаление). Каждый набор учетных данных содержится в безопасном хранилище ключей и регулярно обновляется.

Другими словами, в пофайловом статическом шифровании задействованы три различных типа хранилищ, каждое со своими определенными функциями:

  • Контент хранится в виде зашифрованных больших двоичных объектов в хранилище больших двоичных объектов. Ключ для каждого блока контента зашифрован и хранится отдельно в базе данных контента. Сам контент не содержит никакой информации о его расшифровке.

  • База данных контента — это база данных SQL Server. Он содержит карту, необходимую для поиска и повторного объединения всех контентных BLOB-объектов, хранящиеся в хранилище BLOB-объектов, и ключей, необходимых для расшифровки этих BLOB-объектов.

Каждый из этих трех компонентов хранения — хранилище больших двоичных объектов, база данных контента и хранилище ключей — физически отделены друг от друга. Информация, хранящаяся в каждом из компонентов, не может использоваться самостоятельно. Эта стратегия обеспечивает беспрецедентный уровень безопасности. Без доступа ко всем трем невозможно получить ключи к блокам, расшифровать ключи, чтобы сделать их пригодными для использования, связать ключи с соответствующими блоками, расшифровать любой блок или воссоздать документ из его составляющих блоков.