Риски шифрования и средства защиты
Microsoft 365 следует платформе контроля и соответствия требованиям, которая фокусируется на рисках для службы и данных клиентов. Служба реализует большой набор технологических и основанных на процессах методов, называемых элементами управления, для снижения этих рисков. Выявление, оценка и устранение рисков с помощью элементов управления — это непрерывный процесс.
Реализация элементов управления на уровнях облачных служб, таких как объекты, сеть, серверы, приложения, пользователи (например, администраторы Майкрософт) и данные, формирует стратегию глубокой защиты. Ключ к этой стратегии заключается в том, что на разных уровнях реализовано множество различных элементов управления для защиты от одинаковых или схожих сценариев риска. Этот многоуровневый подход обеспечивает отказоустойчивую защиту в случае сбоя элемента управления.
В этой таблице перечислены некоторые сценарии риска и доступные в настоящее время технологии шифрования, которые устраняют их. Во многих случаях эти сценарии также устраняются другими элементами управления, реализованными в Microsoft 365.
| Технология шифрования | Службы | Управление ключами | Сценарий риска | Значение |
|---|---|---|---|---|
| BitLocker | Exchange и SharePoint | Корпорация Майкрософт | Диски или серверы украдены или неправильно переработаны. | BitLocker обеспечивает отказоустойчивый подход для защиты от потери данных из-за украденного или неправильно переработанного оборудования (сервера или диска). |
| Шифрование службы | SharePoint и OneDrive; Обмен | Корпорация Майкрософт | Внутренний или внешний хакер пытается получить доступ к отдельным файлам или данным в виде BLOB-объекта. | Зашифрованные данные невозможно расшифровать без доступа к ключам. Помогает снизить риск доступа злоумышленника к данным. |
| Ключ клиента | SharePoint, OneDrive и Exchange | Клиент | Н/Д (эта функция разработана как функция соответствия требованиям, а не как устранение каких-либо рисков.) | Помогает клиентам выполнять внутренние обязательства по регулированию и соответствию, а также возможность покинуть службу и отозвать доступ корпорации Майкрософт к данным. |
| Безопасность транспортного уровня (TLS) между Microsoft 365 и клиентами | Exchange, SharePoint, OneDrive, Teams и Viva Engage | Корпорация Майкрософт, клиент | Злоумышленник в середине или другая атака для доступа к потоку данных между Microsoft 365 и клиентскими компьютерами через Интернет. | Эта реализация обеспечивает ценность как для корпорации Майкрософт, так и для клиентов, а также обеспечивает целостность данных по мере ее перемещения между Microsoft 365 и клиентом. |
| TLS между центрами обработки данных Майкрософт | Exchange, SharePoint и OneDrive | Корпорация Майкрософт | Злоумышленник в середине или другая атака для доступа к потоку данных клиента между серверами Microsoft 365, расположенными в разных центрах обработки данных Майкрософт. | Эта реализация является еще одним методом защиты данных от атак между центрами обработки данных Майкрософт. |
| Azure Rights Management (Azure RMS) (входит в Microsoft 365 или Azure Information Protection) | Exchange, SharePoint и OneDrive | Клиент | Данные попадают в руки человека, который не должен иметь доступа к данным. | Azure Information Protection использует Azure RMS, который обеспечивает ценность для клиентов с помощью политик шифрования, удостоверений и авторизации для защиты файлов и электронной почты на нескольких устройствах. Azure RMS предоставляет параметры конфигурации, при которых все сообщения электронной почты, исходящие из Microsoft 365, которые соответствуют определенным критериям (например, все сообщения электронной почты на определенный адрес), можно автоматически зашифровать перед отправкой другому получателю. |
| S/MIME; | Exchange | Клиент | Человек, который не является предполагаемым получателем, получил сообщение электронной почты. | S/MIME помогает гарантировать, что только предполагаемый получатель может расшифровать зашифрованное сообщение электронной почты. |
| Шифрование сообщений Microsoft Purview | Exchange, SharePoint | Клиент | Пользователь, который не является предполагаемым получателем, получил сообщение электронной почты и его защищенные вложения. | Шифрование сообщений позволяет настроить клиент таким образом, чтобы сообщения, полученные из Microsoft 365, которые соответствуют определенным критериям (например, все сообщения электронной почты на определенный адрес), автоматически шифруются перед отправкой. |
| Протокол TLS SMTP с партнерской организацией | Exchange | Клиент | Email перехватывается с помощью злоумышленника или другой атаки при передаче из клиента Microsoft 365 в партнернюю организацию. | Позволяет отправлять и получать все сообщения электронной почты между клиентом Microsoft 365 и организацией электронной почты вашего партнера в зашифрованном канале SMTP. |
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Технологии шифрования, доступные в мультитенантных средах
| Технология шифрования | Реализовано | Алгоритм и сила обмена ключами | Управление ключами* | Федеральные стандарты обработки информации (FIPS) 140-2 проверены |
|---|---|---|---|---|
| BitLocker | Exchange | Расширенная Standard шифрования (AES) 256-разрядная | Внешний ключ AES хранится в секретном сейфе и в реестре сервера Exchange Server. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да |
| SharePoint | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да | |
| Skype для бизнеса | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да | |
| Шифрование службы | SharePoint | AES 256-разрядная версия | Ключи, используемые для шифрования больших двоичных объектов, хранятся в базе данных контента SharePoint. База данных контента SharePoint защищена средствами управления доступом к базе данных и шифрованием неактивных данных. Шифрование выполняется с помощью прозрачного шифрования данных (TDE) в базе данных Azure SQL. Эти секреты находятся на уровне обслуживания SharePoint, а не на уровне клиента. Эти секреты (иногда называемые ключами master) хранятся в отдельном безопасном репозитории, называемом хранилищем ключей. TDE обеспечивает безопасность неактивных баз данных и резервных копий базы данных, а также журналов транзакций. Когда клиенты предоставляют необязательный ключ, ключ хранится в azure Key Vault, а служба использует ключ для шифрования ключа клиента, который используется для шифрования ключа сайта, который затем используется для шифрования ключей на уровне файлов. По сути, новая иерархия ключей вводится, когда клиент предоставляет ключ. | Да |
| Skype для бизнеса | AES 256-разрядная версия | Каждый фрагмент данных шифруется с помощью другого случайно созданного 256-разрядного ключа. Ключ шифрования хранится в соответствующем XML-файле метаданных, который шифруется master ключом для каждой конференции. Ключ master также создается случайным образом для каждой конференции. | Да | |
| Exchange | AES 256-разрядная версия | Каждый почтовый ящик шифруется с помощью политики шифрования данных, которая использует ключи шифрования, контролируемые корпорацией Майкрософт или клиентом (при использовании ключа клиента). | Да | |
| TLS между Microsoft 365 и клиентами и партнерами | Exchange | Оппортунистический ПРОТОКОЛ TLS, поддерживающий несколько наборов шифров | Tls-сертификат для Exchange (outlook.office.com) — это 2048-разрядный сертификат SHA256RSA, выданный baltimore CyberTrust Root. Корневой сертификат TLS для Exchange — это 2048-разрядный сертификат SHA1RSA, выданный root Baltimore CyberTrust. |
Да, если используется TLS 1.2 с 256-разрядным шифром |
| SharePoint | TLS 1.2 с AES 256 Шифрование данных в OneDrive и SharePoint |
СЕРТИФИКАТ TLS для SharePoint (*.sharepoint.com) — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. Корневой сертификат TLS для SharePoint — это 2048-разрядный сертификат SHA1RSA, выданный baltimore CyberTrust Root. |
Да | |
| Microsoft Teams | TLS 1.2 с AES 256 Часто задаваемые вопросы о Microsoft Teams — справка по Администратор |
Сертификат TLS для Microsoft Teams (teams.microsoft.com, edge.skype.com) — это 2048-разрядный сертификат SHA256RSA, выданный Baltimore CyberTrust Root. Корневой сертификат TLS для Microsoft Teams — это 2048-разрядный сертификат SHA256RSA, выданный Baltimore CyberTrust Root. |
Да | |
| TLS между центрами обработки данных Майкрософт | Все службы Microsoft 365 | TLS 1.2 с AES 256 Безопасный транспортный протокол в реальном времени (SRTP) |
Корпорация Майкрософт использует внутренне управляемый и развернутый центр сертификации для обмена данными между серверами между центрами обработки данных Майкрософт. | Да |
| Azure Rights Management (входит в Microsoft 365 или Azure Information Protection) | Exchange | Поддерживает режим шифрования 2, обновленную и расширенную реализацию шифрования RMS. Он поддерживает RSA 2048 для подписи и шифрования и SHA-256 для хэша в сигнатуре. | Управляется корпорацией Майкрософт. | Да |
| SharePoint | Поддерживает режим шифрования 2, обновленную и расширенную реализацию шифрования RMS. Он поддерживает RSA 2048 для подписи и шифрования и SHA-256 для подписи. |
Управляется корпорацией Майкрософт, которая является параметром по умолчанию; или Управляемый клиентом, который является альтернативой ключам, управляемым Корпорацией Майкрософт. Организации, у которых есть управляемая ИТ-службами подписка Azure, могут использовать собственный ключ (BYOK) и регистрируют его использование без дополнительной платы. Дополнительные сведения см. в разделе Реализация приведения собственного ключа. В этой конфигурации для защиты ключей используются аппаратные модули безопасности (HSM) nCipher. |
Да | |
| S/MIME; | Exchange | Синтаксис криптографических сообщений Standard 1.5 (Standard шифрования с открытым ключом (PKCS) No 7) | Зависит от развернутой инфраструктуры открытых ключей, управляемой клиентом. Клиент управляет ключами, и корпорация Майкрософт никогда не имеет доступа к закрытым ключам, используемым для подписывания и расшифровки. | Да, если настроено шифрование исходящих сообщений с помощью 3DES или AES256 |
| Шифрование сообщений Microsoft Purview | Exchange | Аналогично Azure RMS (режим шифрования 2 — RSA 2048 для подписи и шифрования и SHA-256 для подписи) | Использует azure Information Protection в качестве инфраструктуры шифрования. Выбор используемого метода шифрования зависит от того, где получены ключи RMS для шифрования и расшифровки сообщений. | Да |
| ПРОТОКОЛ SMTP TLS с партнерской организацией | Exchange | TLS 1.2 с AES 256 | Сертификат TLS для Exchange (outlook.office.com) — это 2048-разрядный СЕРТИФИКАТ SHA-256 с сертификатом шифрования RSA, выданным DigiCert Облачные службы CA-1. Корневой сертификат TLS для Exchange — это 2048-разрядный SHA-1 с сертификатом шифрования RSA, выданным корневым ЦС GlobalSign — R1. По соображениям безопасности наши сертификаты время от времени меняются. |
Да, если используется TLS 1.2 с 256-разрядным шифром |
*Сертификаты TLS, указанные в этой таблице, предназначены для центров обработки данных в США; Центры обработки данных, отличные от США, также используют 2048-разрядные сертификаты SHA256RSA.
Технологии шифрования, доступные в облачных средах сообщества государственных организаций
| Технология шифрования | Реализовано | Алгоритм и сила обмена ключами | Управление ключами* | Проверка FIPS 140-2 |
|---|---|---|---|---|
| BitLocker | Exchange | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе и в реестре сервера Exchange Server. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да |
| SharePoint | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да | |
| Skype для бизнеса | AES 256-разрядная версия | Внешний ключ AES хранится в секретном сейфе. Секретный сейф — это защищенный репозиторий, для доступа к которому требуется высокий уровень повышения прав и утверждений. Доступ можно запросить и утвердить только с помощью внутреннего средства под названием Lockbox. Внешний ключ AES также хранится в доверенном модуле платформы на сервере. 48-значный числовой пароль хранится в Active Directory и защищен с помощью lockbox. | Да | |
| Шифрование службы | SharePoint | AES 256-разрядная версия | Ключи, используемые для шифрования больших двоичных объектов, хранятся в базе данных контента SharePoint. Базы данных контента SharePoint защищены средствами управления доступом к базам данных и шифрованием неактивных данных. Шифрование выполняется с помощью TDE в базе данных Azure SQL. Эти секреты находятся на уровне обслуживания SharePoint, а не на уровне клиента. Эти секреты (иногда называемые ключами master) хранятся в отдельном безопасном репозитории, называемом хранилищем ключей. TDE обеспечивает безопасность неактивных баз данных и резервных копий базы данных, а также журналов транзакций. Когда клиенты предоставляют необязательный ключ, ключ клиента сохраняется в Azure Key Vault. Служба использует ключ для шифрования ключа клиента, который используется для шифрования ключа сайта, который затем используется для шифрования ключей на уровне файлов. По сути, новая иерархия ключей вводится, когда клиент предоставляет ключ. | Да |
| Skype для бизнеса | AES 256-разрядная версия | Каждый фрагмент данных шифруется с помощью другого случайно созданного 256-разрядного ключа. Ключ шифрования хранится в соответствующем XML-файле метаданных. Ключ master конференции шифрует этот XML-файл. Ключ master также создается случайным образом для каждой конференции. | Да | |
| Exchange | AES 256-разрядная версия | Каждый почтовый ящик шифруется с помощью политики шифрования данных, которая использует ключи шифрования, контролируемые корпорацией Майкрософт или клиентом (при использовании ключа клиента). | Да | |
| TLS между Microsoft 365 и клиентами и партнерами | Exchange | Оппортунистический ПРОТОКОЛ TLS, поддерживающий несколько наборов шифров | Tls-сертификат для Exchange (outlook.office.com) — это 2048-разрядный сертификат SHA256RSA, выданный baltimore CyberTrust Root. Корневой сертификат TLS для Exchange — это 2048-разрядный сертификат SHA1RSA, выданный root Baltimore CyberTrust. |
Да, если используется TLS 1.2 с 256-разрядным шифром |
| SharePoint | TLS 1.2 с AES 256 | СЕРТИФИКАТ TLS для SharePoint (*.sharepoint.com) — это 2048-разрядный сертификат SHA256RSA, выданный root Baltimore CyberTrust. Корневой сертификат TLS для SharePoint — это 2048-разрядный сертификат SHA1RSA, выданный baltimore CyberTrust Root. |
Да | |
| Microsoft Teams | Часто задаваемые вопросы о Microsoft Teams — справка по Администратор | Сертификат TLS для Microsoft Teams (teams.microsoft.com; edge.skype.com) — это 2048-разрядный сертификат SHA256RSA, выданный Baltimore CyberTrust Root. Корневой сертификат TLS для Microsoft Teams — это 2048-разрядный сертификат SHA256RSA, выданный Baltimore CyberTrust Root. |
Да | |
| TLS между центрами обработки данных Майкрософт | Exchange, SharePoint, Skype для бизнеса | TLS 1.2 с AES 256 | Корпорация Майкрософт использует внутренне управляемый и развернутый центр сертификации для обмена данными между серверами между центрами обработки данных Майкрософт. | Да |
| Безопасный транспортный протокол в реальном времени (SRTP) | ||||
| Служба Azure Rights Management | Exchange | Поддерживает режим шифрования 2, обновленную и расширенную реализацию шифрования RMS. Он поддерживает RSA 2048 для подписи и шифрования и SHA-256 для хэша в сигнатуре. | Управляется корпорацией Майкрософт. | Да |
| SharePoint | Поддерживает режим шифрования 2, обновленную и расширенную реализацию шифрования RMS. Он поддерживает RSA 2048 для подписи и шифрования и SHA-256 для хэша в сигнатуре. |
Управляется корпорацией Майкрософт, которая является параметром по умолчанию; или Управляемый клиентом (также известный как BYOK), который является альтернативой ключам, управляемым Корпорацией Майкрософт. Организации, у которых есть управляемая ИТ-службами подписка Azure, могут использовать BYOK и регистрируют ее использование без дополнительной платы. Дополнительные сведения см. в разделе Реализация приведения собственного ключа. В сценарии BYOK для защиты ключей используются модули HSM nCipher. |
Да | |
| S/MIME; | Exchange | Синтаксис криптографических сообщений Standard 1.5 (PKCS 7) | Зависит от развернутой инфраструктуры открытых ключей. | Да, если настроено шифрование исходящих сообщений с помощью 3DES или AES-256. |
| Шифрование сообщений Office 365 | Exchange | Аналогично Azure RMS (режим шифрования 2 — RSA 2048 для подписи и шифрования и SHA-256 для хэша в сигнатуре) | Использует Azure RMS в качестве инфраструктуры шифрования. Выбор используемого метода шифрования зависит от того, где получены ключи RMS для шифрования и расшифровки сообщений. Если вы используете Azure RMS для получения ключей, используется режим шифрования 2. Если для получения ключей используются службы Active Directory (AD) RMS, применяется криптографический режим 1 или 2. Использование этого метода зависит от локального развертывания AD RMS. Криптографический режим 1 является исходной системой шифрования AD RMS. Он поддерживает RSA 1024 для подписи и шифрования и поддерживает SHA-1 для подписи. Все текущие версии RMS поддерживают этот режим, за исключением конфигураций BYOK, использующих модули HSM. |
Да |
| ПРОТОКОЛ SMTP TLS с партнерской организацией | Exchange | TLS 1.2 с AES 256 | СЕРТИФИКАТ TLS для Exchange (outlook.office.com) — это 2048-разрядный сертификат SHA-256 с сертификатом шифрования RSA, выданным DigiCert Облачные службы CA-1. Корневой сертификат TLS для Exchange — это 2048-разрядный SHA-1 с сертификатом шифрования RSA, выданным корневым ЦС GlobalSign — R1. По соображениям безопасности наши сертификаты время от времени меняются. |
Да, если используется TLS 1.2 с 256-разрядным шифром. |
*Сертификаты TLS, указанные в этой таблице, предназначены для центров обработки данных в США; Центры обработки данных, отличные от США, также используют 2048-разрядные сертификаты SHA256RSA.