คำแนะนำสำหรับการเข้ารหัสลับข้อมูล
ใช้กับคำแนะนำรายการตรวจสอบความปลอดภัยที่ได้รับการออกแบบอย่างดี: Power Platform
| SE:06 | เข้ารหัสลับข้อมูลโดยใช้วิธีการที่ทันสมัยและเป็นมาตรฐานอุตสาหกรรมเพื่อปกป้องความลับและความสมบูรณ์ จัดขอบเขตการเข้ารหัสลับให้สอดคล้องกับการจัดประเภทข้อมูล จัดลำดับความสำคัญของวิธีการเข้ารหัสแพลตฟอร์มแบบเนทีฟ |
|---|
หากข้อมูลของคุณไม่ได้รับการปกป้อง ข้อมูลนั้นอาจถูกแก้ไขโดยประสงค์ร้าย ซึ่งนำไปสู่การสูญเสียความสมบูรณ์และการรักษาความลับ
คู่มือนี้จะอธิบายคำแนะนำในการเข้ารหัสลับและปกป้องข้อมูลของคุณ การเข้ารหัสลับเป็นกระบวนการของการใช้อัลกอริธึมการเข้ารหัสเพื่อทำให้ข้อมูลไม่สามารถอ่านได้และล็อกข้อมูลด้วยคีย์ ในสถานะการเข้ารหัสลับ จะไม่สามารถถอดรหัสข้อมูลได้ สามารถถอดรหัสได้โดยใช้คีย์ที่จับคู่กับคีย์การเข้ารหัสลับเท่านั้น
คำจำกัดความ
| เงื่อนไข | ข้อกำหนด |
|---|---|
| ใบรับรอง | ไฟล์ดิจิทัลที่เก็บคีย์สาธารณะสำหรับการเข้ารหัสลับหรือการถอดรหัส |
| การถอดรหัส | กระบวนการที่ข้อมูลที่เข้ารหัสถูกปลดล็อกด้วยรหัสลับ |
| การเข้ารหัสลับ | กระบวนการที่ทำให้ข้อมูลไม่สามารถอ่านได้และถูกล็อกด้วยรหัสลับ |
| คีย์ | รหัสลับที่ใช้ในการล็อกหรือปลดล็อกข้อมูลที่เข้ารหัสลับ |
กลยุทธ์การออกแบบที่สำคัญ
ข้อบังคับขององค์กรหรือข้อกำหนดด้านกฎระเบียบอาจบังคับใช้กลไกการเข้ารหัสลับ ตัวอย่างเช่น อาจมีข้อกำหนดว่าข้อมูลจะต้องคงอยู่ในภูมิภาคที่เลือกเท่านั้น และสำเนาของข้อมูลจะถูกเก็บรักษาไว้ในภูมิภาคนั้น
ข้อกำหนดเหล่านี้มักเป็นข้อกำหนดขั้นต่ำพื้นฐาน มุ่งมั่นในการปกป้องในระดับที่สูงขึ้น คุณต้องมีหน้าที่ป้องกันการรั่วไหลของความลับและการดัดแปลงข้อมูลที่ละเอียดอ่อน ไม่ว่าจะเป็นข้อมูลผู้ใช้ภายนอกหรือข้อมูลพนักงาน
ข้อมูลเป็นทรัพย์สินที่มีค่าที่สุดขององค์กรและไม่สามารถถูกแทนที่ได้ และการเข้ารหัสลับทำหน้าที่เป็นแนวป้องกันสุดท้ายและแข็งแกร่งที่สุดในกลยุทธ์การรักษาความปลอดภัยของข้อมูลแบบหลายชั้น Microsoft บริการและผลิตภัณฑ์คลาวด์ทางธุรกิจใช้การเข้ารหัสเพื่อปกป้องข้อมูลของลูกค้าและช่วยให้คุณควบคุมข้อมูลเหล่านั้นได้
สถานการณ์การเข้ารหัสลับ
กลไกการเข้ารหัสลับอาจจำเป็นต้องรักษาความปลอดภัยข้อมูลในสามขั้นตอนดังต่อไปนี้
ข้อมูลที่อยู่นิ่ง คือข้อมูลทั้งหมดที่เก็บไว้ในวัตถุที่จัดเก็บ โดยค่าเริ่มต้น Microsoft จะจัดเก็บและจัดการคีย์การเข้ารหัสฐานข้อมูลสำหรับสภาพแวดล้อมของคุณโดยใช้คีย์ที่จัดการ Microsoft อย่างไรก็ตาม Power Platform มีคีย์การเข้ารหัสลับที่จัดการโดยลูกค้า (CMK) เพื่อเพิ่มการควบคุมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งคุณสามารถจัดการคีย์การเข้ารหัสลับของฐานข้อมูลด้วยตนเองได้
ข้อมูลในการประมวลผล คือข้อมูลที่กำลังถูกใช้เป็นส่วนหนึ่งของสถานการณ์เชิงโต้ตอบ หรือเมื่อกระบวนการพื้นหลัง เช่น การรีเฟรช สัมผัสกับข้อมูลนั้น Power Platform กำลังโหลดข้อมูลที่ประมวลผลลงในพื้นที่หน่วยความจำของปริมาณงานบริการตั้งแต่หนึ่งรายการขึ้นไป ข้อมูลที่จัดเก็บไว้ในหน่วยความจำจะไม่ถูกเข้ารหัสเพื่ออำนวยความสะดวกให้กับการทำงานของปริมาณงาน
ข้อมูลที่อยู่ระหว่างการส่ง คือข้อมูลที่ถ่ายโอนระหว่างส่วนประกอบ สถานที่ หรือโปรแกรม Azure ใช้โปรโตคอลการขนส่งมาตรฐานอุตสาหกรรม เช่น Transport เลเยอร์ Security (TLS) ระหว่างอุปกรณ์ผู้ใช้และ Microsoft ศูนย์ข้อมูล และภายในศูนย์ข้อมูลนั้นๆ เอง
กลไกการเข้ารหัสลับแบบดั้งเดิม
โดยค่าเริ่มต้น Microsoft จะจัดเก็บและจัดการคีย์การเข้ารหัสฐานข้อมูลสำหรับสภาพแวดล้อมของคุณโดยใช้คีย์ที่จัดการ Microsoft อย่างไรก็ตาม Power Platform มีคีย์การเข้ารหัสลับที่จัดการโดยลูกค้า (CMK) เพื่อเพิ่มการควบคุมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งคุณสามารถจัดการคีย์การเข้ารหัสลับของฐานข้อมูลด้วยตนเองได้ คีย์การเข้ารหัสลับอยู่ใน Azure Key Vault ของคุณเอง ซึ่งช่วยให้คุณสามารถหมุนเวียนหรือสลับคีย์การเข้ารหัสลับได้ตามต้องการ นอกจากนี้ยังช่วยให้คุณป้องกันการเข้าถึงข้อมูลลูกค้าของ Microsoftได้เมื่อคุณเพิกถอนสิทธิ์การเข้าถึงบริการของเราได้ตลอดเวลา
คีย์การเข้ารหัสลับ
โดยค่าเริ่มต้น บริการจะใช้คีย์เข้ารหัสที่จัดการโดย Power Platform เพื่อเข้ารหัสและถอดรหัสข้อมูล Microsoft Azure มีหน้าที่รับผิดชอบในการจัดการคีย์
คุณสามารถเลือกคีย์ที่มีการจัดการโดยลูกค้า Power Platform ยังคงใช้กุญแจของคุณ แต่คุณต้องรับผิดชอบต่อการดำเนินงานที่สำคัญ
การอำนวยความสะดวกของ Power Platform
ส่วนต่อไปนี้จะอธิบายคุณลักษณะและความสามารถของ Power Platform ที่คุณสามารถใช้เพื่อเข้ารหัสลับของข้อมูล
คีย์ที่มีการจัดการโดยลูกค้า
ข้อมูลลูกค้าทั้งหมดที่จัดเก็บไว้ใน Power Platform จะถูกเข้ารหัสโดยใช้คีย์เข้ารหัส Microsoftที่มีการจัดการอย่างแข็งแกร่งตามค่าเริ่มต้น องค์กรที่มีข้อกำหนดความเป็นส่วนตัวของข้อมูลและการปฏิบัติตามข้อบังคับเพื่อรักษาความปลอดภัยของข้อมูลและจัดการคีย์ของตนเองสามารถใช้ความสามารถคีย์ที่จัดการโดยลูกค้าได้ คีย์ที่จัดการโดยลูกค้าให้การปกป้องข้อมูลเพิ่มเติมโดยที่คุณจัดการคีย์การเข้ารหัสลับของข้อมูลที่เชื่อมโยงกับสภาพแวดล้อม Dataverse ด้วยตนเอง การใช้ความสามารถนี้ทำให้คุณสามารถหมุนหรือสลับคีย์การเข้ารหัสลับได้ตามต้องการ นอกจากนี้ ยังป้องกัน Microsoft จากการเข้าถึงข้อมูลของคุณได้เมื่อคุณเพิกถอนคีย์จากบริการ สำหรับข้อมูลเพิ่มเติม โปรดดูที่ จัดการคีย์การเข้ารหัสที่จัดการโดยลูกค้าของคุณ
ที่เก็บข้อมูล
ผู้เช่า Azure Active Directory (Azure AD) เก็บข้อมูลที่เกี่ยวข้องกับองค์กรและความปลอดภัย เมื่อผู้เช่า Azure AD ลงทะเบียนสำหรับบริการ Power Platform ประเทศหรือภูมิภาคที่เลือกของผู้เช่าจะถูกแมปกับภูมิศาสตร์ Azure ที่เหมาะสมที่สุดโดยที่ Power Platform มีการปรับใช้อยู่ Power Platform เก็บข้อมูลลูกค้าในภูมิศาสตร์ Azure ที่ได้รับมอบหมายของผู้เช่า หรือ ภูมิศาสตร์หลัก ยกเว้นในกรณีที่องค์กรใช้บริการในหลายภูมิภาค
บริการ Power Platform มีให้บริการในบางภูมิภาคของ Azure หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับสถานที่ให้บริการ ข้อมูลของคุณถูกจัดเก็บไว้ที่ไหน และวิธีการใช้งาน โปรดดูที่ Power Platform ศูนย์ความน่าเชื่อถือ Microsoft ข้อผูกพันที่เกี่ยวข้องกับตำแหน่งของข้อมูลลูกค้าที่ไม่ได้ใช้งานนั้นระบุไว้ในเงื่อนไขการประมวลผลข้อมูลของ Microsoft เงื่อนไขบริการออนไลน์ Microsoft ยังจัดให้มีศูนย์ข้อมูลสำหรับ หน่วยงานที่มีอำนาจอธิปไตยอีกด้วย
การเข้าถึงฟีเจอร์ AI สร้างสรรค์จากภูมิภาคนอกสหรัฐอเมริกา ส่งผลให้เกิดการเคลื่อนย้ายข้อมูลข้ามขอบเขตภูมิภาค Copilot Studio การเคลื่อนย้ายข้อมูลนี้สามารถเปิดและปิดใช้งานได้ใน Power Platform เรียนรู้เพิ่มเติมใน ภูมิภาคที่เกี่ยวข้องกับผู้ช่วยนักบินและฟีเจอร์ AI เชิงสร้างสรรค์ ถิ่นที่อยู่ของข้อมูลทางภูมิศาสตร์ใน Microsoft Copilot Studio ให้กรอบงานที่แข็งแกร่งเพื่อการรับรองความปลอดภัยของข้อมูลและการปฏิบัติตามกฎระเบียบท้องถิ่น นอกเหนือจากคุณลักษณะด้านความปลอดภัยดั้งเดิมของตัวเองแล้ว Copilot Studio ยังใช้ประโยชน์จากโครงสร้างพื้นฐาน Azure เพื่อให้ตัวเลือกการจัดเก็บข้อมูลที่ปลอดภัยและเป็นไปตามข้อกำหนด เรียนรู้เพิ่มเติมเกี่ยวกับการคงอยู่ของข้อมูลและ Copilot Studio ใน การคงอยู่ของข้อมูลภูมิศาสตร์ใน Copilot Studio และ ความปลอดภัยและการคงอยู่ของข้อมูลภูมิศาสตร์ใน Copilot Studio
ข้อมูลขณะจัดเก็บ
เว้นแต่จะระบุไว้เป็นอย่างอื่นในเอกสาร ข้อมูลลูกค้ายังคงอยู่ในแหล่งที่มาเดิม (เช่น Dataverse หรือ SharePoint) ข้อมูลทั้งหมดที่คงอยู่โดย Power Platform จะถูกเข้ารหัสตามค่าเริ่มต้นโดยใช้คีย์ที่จัดการโดย Microsoft
กำลังประมวลผลข้อมูล
ข้อมูลอยู่ในระหว่างการประมวลผลเมื่อมีการใช้งานโดยเป็นส่วนหนึ่งของสถานการณ์เชิงโต้ตอบ หรือเมื่อกระบวนการในเบื้องหลัง เช่น การรีเฟรชแตะต้องข้อมูลนี้ Power Platform กำลังโหลดข้อมูลที่ประมวลผลลงในพื้นที่หน่วยความจำของปริมาณงานบริการตั้งแต่หนึ่งรายการขึ้นไป ข้อมูลที่จัดเก็บไว้ในหน่วยความจำจะไม่ถูกเข้ารหัสเพื่ออำนวยความสะดวกให้กับการทำงานของปริมาณงาน
ข้อมูลระหว่างทาง
Power Platform ต้องการการรับส่งข้อมูล HTTP ขาเข้าทั้งหมดเพื่อเข้ารหัสโดยใช้ TLS 1.2 หรือสูงกว่า คำขอที่พยายามใช้ TLS 1.1 หรือต่ำกว่าจะถูกปฏิเสธ
สำหรับข้อมูลเพิ่มเติม โปรดดู เกี่ยวกับการเข้ารหัสลับข้อมูลใน Power Platform และ การจัดเก็บข้อมูลและการกำกับดูแลใน Power Platform -
ข้อมูลที่เกี่ยวข้อง
- เกี่ยวกับการเข้ารหัสข้อมูล
- การจัดเก็บข้อมูลและการกำกับดูแลข้อมูลใน Power Platform
- Power Platform คำถามที่พบบ่อยเกี่ยวกับความปลอดภัย
- จัดการคีย์การเข้ารหัสที่ลูกค้าของคุณจัดการ
รายการตรวจสอบความปลอดภัย
โปรดดูชุดคำแนะนำทั้งหมด