加密和密钥管理概述
加密在保护客户内容方面扮演什么角色?
大多数Microsoft业务云服务都是多租户的,这意味着客户内容可能存储在与其他客户相同的物理硬件上。 为了保护客户内容的机密性,Microsoft联机服务使用一些最强大、最安全的加密协议来加密所有静态数据和传输中的数据。
加密不能替代强访问控制。 Microsoft的零长期访问 (ZSA) 访问控制策略可保护客户内容免受Microsoft员工未经授权的访问。 加密通过保护存储在任何位置的客户内容的机密性,以及防止在Microsoft联机服务系统之间或在联机服务与客户Microsoft之间传输时读取内容,来补充访问控制。
Microsoft联机服务如何加密静态数据?
Microsoft联机服务中的所有客户内容都受到一种或多种加密形式的保护。 Microsoft服务器使用 BitLocker 加密卷级别包含客户内容的磁盘驱动器。 如果其他流程或控制措施 ((例如,访问控制或硬件) 的回收)存在失误,则 BitLocker 提供的加密可保护客户内容,从而导致对包含客户内容的磁盘进行未经授权的物理访问。
除了卷级加密外,Microsoft联机服务还使用应用程序层加密来加密客户内容。 服务加密在强加密保护的基础上提供权限保护和管理功能。 它还允许在 Windows 操作系统与这些操作系统存储或处理的客户数据之间分离。
Microsoft联机服务如何加密传输中的数据?
Microsoft联机服务使用强大的传输协议(例如传输层安全性 (TLS) ),以防止未经授权的方在通过网络移动时窃听客户数据。 传输中的数据示例包括正在传递的邮件、在线会议中发生的对话或在数据中心之间复制的文件。
对于Microsoft联机服务,每当用户的设备与Microsoft服务器通信,或者Microsoft服务器与其他服务器通信时,数据都被视为“传输中”。
Microsoft联机服务如何管理用于加密的密钥?
强加密仅与用于加密数据的密钥一样安全。 Microsoft使用自己的安全证书和关联的密钥来加密传输中数据的 TLS 连接。 对于静态数据,受 BitLocker 保护的卷使用完整卷加密密钥进行加密,该加密密钥使用卷主密钥进行加密,而卷主密钥又绑定到服务器中的受信任的平台模块 (TPM) 。 BitLocker 使用符合 FIPS 140-2 的算法来确保加密密钥永远不会以明文形式通过网络进行存储或发送。
服务加密为客户静态数据提供另一层加密,为客户提供两种加密密钥管理选项:Microsoft管理的密钥或客户密钥。 使用Microsoft管理的密钥时,Microsoft联机服务自动生成并安全地存储用于服务加密的根密钥。
要求控制自己的根加密密钥的客户可以将服务加密与 Microsoft Purview 客户密钥结合使用。 使用客户密钥,客户可以使用本地硬件服务模块 (HSM) 或 Azure Key Vault (AKV) 生成自己的加密密钥。 客户根密钥存储在 AKV 中,可在其中用作加密客户邮箱数据或文件的其中一个密钥链的根。 客户根密钥只能通过Microsoft用于数据加密的联机服务代码间接访问,不能由Microsoft员工直接访问。
相关的外部法规 & 认证
Microsoft的在线服务定期接受外部法规和认证的合规性审核。 有关与加密和密钥管理相关的控制措施的验证,请参阅下表。
Azure 和 Dynamics 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
|
ISO 27001 适用性声明 证书 |
A.10.1:加密控制 A.18.1.5:加密控制 |
2024 年 4 月 8 日 |
|
ISO 27017 适用性声明 证书 |
A.10.1:加密控制 A.18.1.5:加密控制 |
2024 年 4 月 8 日 |
|
ISO 27018 适用性声明 证书 |
A.11.6:通过公共数据传输网络传输的 PII 加密 | 2024 年 4 月 8 日 |
|
SOC 1 SOC 2 SOC 3 |
DS-1:加密证书和密钥的安全存储 DS-2:在传输中对客户数据进行加密 DS-3:传输中加密的 Azure 组件的内部通信 DS-4:加密控制和过程 |
2024 年 5 月 20 日 |
Microsoft 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| FedRAMP (Office 365) | SC-8:传输机密性和完整性 SC-13:加密的使用 SC-28:保护静态信息 |
2023 年 7 月 31 日 |
|
ISO 27001/27017 适用性声明 认证 (27001) 认证 (27017) |
A.10.1:加密控制 A.18.1.5:加密控制 |
2022 年 3 月 |
|
ISO 27018 适用性声明 证书 |
A.11.6:通过公共数据传输网络传输的 PII 加密 | 2022 年 3 月 |
| SOC 2 | CA-44:传输中数据加密 CA-54:静态数据加密 CA-62:客户密钥邮箱加密 CA-63:删除客户密钥数据 CA-64:客户密钥 |
2024 年 1 月 23 日 |
| SOC 3 | CUEC-16:客户加密密钥 CUEC-17:客户密钥保管库 CUEC-18:客户密钥轮换 |
2024 年 1 月 23 日 |