Обзор управления ключом клиента с помощью ключа клиента

Завершено

Ключ клиента позволяет клиентам использовать собственные корневые ключи для шифрования данных. Ключи клиентов загружаются или создаются в Azure Key Vault, что позволяет клиентам управлять возможностью служб Майкрософт по расшифровке и обработке данных клиента. Этот вариант в настоящее время доступен в Exchange Online, SharePoint Online и OneDrive для бизнеса.

Ключ клиента обеспечивает соответствие внутренним политикам или внешним обязательствам, связанным с ключами, используемыми для шифрования данных. Эти обязательства по обеспечению соответствия могут включать требования к владению корневыми ключами, используемыми для шифрования данных, к смене ключей с определенной периодичностью или к хранению ключей в HSM. Она также предоставляет клиентам возможность отзывать свои корневые ключи и запрашивать очистку данных при выходе из службы, что сокращает время хранения их данных в облаке после завершения службы путем криптографического измельчения данных, как описано в Условиях использования продуктов Майкрософт.

При использовании ключа клиента корневые ключи клиента используют совместимые с FIPS 140-2 алгоритмы и не покидают границу HSM. В результате клиенты могут контролировать и отзывать ключи в случае принятия решения о выходе из службы. Отзыв ключей и запрос очистки данных делает зашифрованные данные нечитаемыми для наших служб.

Преимущества использования ключа клиента:

• Предоставление защиты прав и возможностей управления на основе надежной защиты шифрования.
• Улучшение возможностей Microsoft 365, чтобы соотнести требования клиентов с требованиями по обеспечению соответствия в отношении шифрования.

Однако важно отметить, что ключ клиента отвечает за управление собственными ключами, включая их безопасное хранение и обеспечение их надлежащего уничтожения, когда они больше не нужны.

На схеме слева показана иерархия ключа для Exchange Online, которая отображает, как два корневых RSA-ключа клиента и один эквивалентный ключ доступности AES-256 используются для защиты ключа политики шифрования данных, который, в свою очередь, защищает ключ почтового ящика, используемый для шифрования почтовых ящиков в Exchange Online. На схеме справа показана иерархия ключей клиента для файлов SharePoint Online, OneDrive для бизнеса и Microsoft Teams, которые используют одну и ту же конфигурацию корневого ключа и ключа доступности, но используют эти ключи для защиты промежуточного ключа клиента, который, в свою очередь, защищает ключ шифрования сайта, который используется для защиты ключей шифрования фрагментов файлов для шифрования данных клиента.

Ключ доступности

Для клиентов, использующих возможность ключа клиента, Microsoft 365 предоставляет возможности восстановления данных с помощью ключей доступности. Основная цель ключа доступности — предоставление возможности восстановления после непредвиденной потери управляемых клиентом корневых ключей, включая потерю ключей из-за неправильного управления или вредоносных действий. Если клиенты теряют управление своими корневыми ключами, то служба поддержки Майкрософт может инициировать восстановление по запросу клиента с помощью ключа доступности.

Ключ доступности — это корневой ключ, предоставляемый и защищаемый корпорацией Майкрософт, который функционально эквивалентен корневым ключам, предоставленным клиентом с помощью возможности ключа клиента. Ключ доступности автоматически создается и предоставляется при создании клиентами политики шифрования данных. По замыслу никто в корпорации Майкрософт не имеет доступа к ключу доступности: он доступен только с помощью кода службы Microsoft 365. Microsoft 365 хранит ключ доступности и защищает его. В отличие от ключей, предоставляемых и управляемых клиентами в Azure Key Vault, клиенты не могут напрямую получить доступ к ключу доступности. Тем не менее, корпорация Майкрософт предоставляет клиентам единоличные полномочия по отключению или уничтожению ключа доступности. Если клиент решит выйти из службы, ключ доступности будет очищен в рамках процесса очистки данных.

Помимо восстановления данных, ключ доступности иногда используется для поддержания доступности служб в Exchange Online. Хотя сбои службы встречаются редко, временные проблемы с идентификатором Microsoft Entra или сетью могут угрожать доступности содержимого Exchange Online. Если Exchange Online не удается связаться с корневыми ключами клиента и мы не получим ответ, указывающий, что клиент намеревался заблокировать доступ к своим корневым ключам, служба возвращается к ключу доступности для завершения операции. Это изменение касается только Exchange Online. SharePoint Online и Microsoft Teams не используют ключ доступности, если клиент явно не проинструктирует корпорацию Майкрософт о запуске процесса восстановления.

Корпорация Майкрософт защищает ключи доступности во внутренних хранилищах секретов с управляемым доступом, аналогичным клиентскому хранилищу Azure Key Vault. Элементы управления доступом предотвращают несанкционированный доступ к содержимому хранилища секретов. Операции хранилища секретов, включая смену и удаление ключей, выполняются с помощью автоматических команд, которые не требуют прямого доступа к ключу доступности. Операции управления хранилищем секретов ограничены кругом определенных инженеров и требуют повышения привилегий с помощью защищенного хранилища. Для повышения привилегий требуется утверждение и обоснование менеджера до предоставления доступа. Защищенное хранилище обеспечивает доступ во временных рамках с автоматическим отзывом доступа по истечении периода времени.

Подробнее

• Шифрование службы с помощью ключа клиента Microsoft Purview
• Сведения о ключе доступности для ключа клиента
• Условия использования продуктов Майкрософт