关于数据加密
数据是组织最有价值的不可替代的资产,加密是多层数据安全策略中最后也是最坚固的防线。 Microsoft 企业云服务和产品使用加密来保护客户数据,帮助您保持对数据的控制。
静态数据保护
加密您的信息会使未经授权的人员无法读取它,即使他们突破了您的防火墙、渗透到您的网络、对您的设备进行物理访问或绕过您本地计算机上的权限。 加密对数据进行转换,让只有具有解密密钥的用户能够访问它。
Dynamics 365 使用异构存储(Dataverse)来存储数据。 数据分布在不同的存储类型中:
- 关系数据使用 Azure SQL 数据库
- 二进制数据(如图像和文档)使用 Azure Blob 存储
- 搜索索引使用 Azure 搜索
- Azure Cosmos DB 用于审计数据
- 分析使用 Azure Data Lake
默认情况下,Microsoft 使用 Microsoft 托管密钥存储和管理您的环境的数据库加密密钥。 但是,Power Platform 也提供客户管理的加密密钥 (CMK) 来实现更高的数据保护控制,这种情况下您可以自行管理数据库加密密钥。 加密密钥驻留在您自己的 Azure 密钥保管库中,因此您可以按需对加密密钥进行轮换。 此外,您还可以通过随时撤消对我们的服务的密钥访问权限,来阻止 Microsoft 访问您的客户数据。
管理员可以使用自己的密钥生成器硬件 (HSM) 提供自己的加密密钥,或使用 Azure 密钥保管库生成加密密钥。 密钥管理功能通过使用 Azure Key Vault 安全地存储加密密钥,消除了加密密钥管理的复杂性。 Azure Key Vault 帮助保护云应用程序和服务使用的加密密钥和机密。 加密密钥必须满足以下 Azure Key Vault 要求:
管理员还可以随时将加密密钥恢复为 Microsoft 托管密钥。
传输中的数据保护
Azure 保护传入或传出外部组件的数据,以及内部传输的数据,如在两个虚拟网络之间传输的数据。 Azure 在用户设备和 Microsoft 数据中心之间以及数据中心内部使用行业标准传输协议,如 TLS。 为了进一步保护您的数据,Microsoft 服务之间的内部通信使用的是 Microsoft 骨干网络,因此不会暴露在公共互联网上。
Microsoft 在其产品和服务中使用多种加密方法、协议和算法,以帮助为数据在基础结构中传输提供安全路径,并帮助保护存储在基础结构中的数据的机密性。 Microsoft 使用业内一些最强大、最安全的加密协议来防止未经授权访问您的数据。 正确的密钥管理是加密最佳做法的基本要素,Microsoft 帮助确保加密密钥得到适当保护。
协议和技术示例包括:
- 传输层安全/安全套接字层 (TLS/SSL),使用基于共享机密的对称加密技术在通信通过网络传输时对其进行加密。
- Internet 协议安全 (IPsec),一组行业标准协议,用于在 IP 数据包级别提供数据在网络上传输的身份验证、完整性和机密性。
- 高级加密标准 (AES)-256,美国国家标准与技术研究院 (NIST) 对称密钥数据加密规范,被美国政府采用来取代数据加密标准 (DES) 和 RSA 2048 公钥加密技术。