OneDrive 和 SharePoint 中的数据加密
了解用于在 OneDrive 和 SharePoint 中实现数据安全的基本加密元素。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
Microsoft 365 中的安全和数据加密
Microsoft 365 是一个高度安全的环境,在多个层中提供广泛的保护:物理数据中心安全、网络安全、访问安全、应用程序安全和数据安全。 本文重点介绍 OneDrive 和 SharePoint 数据安全的传输中加密和静态加密。
观看以下视频,了解数据加密的工作方式。
中转数据的加密
在 OneDrive 和 SharePoint 中,有两种方案允许数据进入和退出数据中心。
客户端与服务器的通信 通过 Internet 与 OneDrive 通信使用 SSL/TLS 连接。 所有 TLS 连接都是使用 2048 位密钥建立的。
数据中心之间的数据移动 在数据中心之间移动数据的主要原因是进行异地复制以启用灾难恢复。 例如,SQL Server 事务日志和 blob 存储增量沿着此管道传输。 虽然此数据已使用专用网络传输,但会通过一流的加密进一步保护这些数据。
静态数据的加密
静态加密包括两个组件:BitLocker 磁盘级别加密和客户内容的每个文件加密。
BitLocker 跨服务为 OneDrive 和 SharePoint 部署。 Microsoft 365 多租户和基于多租户技术构建的新专用环境的 OneDrive 和 SharePoint 中也采用每个文件加密。
虽然 BitLocker 加密磁盘上的所有数据,每个文件加密还是会通过包含唯一加密密钥来进一步加密每个文件。 此外,对每个文件的每次更新都使用其自己的加密密钥进行加密。 加密内容的密钥存储在与内容物理上分开的位置。 此加密的每一个步骤都使用带有 256 位密钥的高级加密标准 (AES),并且符合美国联邦信息处理标准 (FIPS) 140-2。 加密内容分布在数据中心内的多个容器中,每个容器都有唯一的凭据。 这些凭据存储在与内容和内容密钥存储位置不同的单独物理位置中。
有关 FIPS 140-2 符合性的详细信息,请参阅 FIPS 140-2 符合性。
文件级静态加密利用 Blob 存储来提供存储增长并实现前所未有的保护。 OneDrive 和 SharePoint 中的所有客户内容都迁移到 Blob 存储。 下面介绍了保护此数据的方法:
所有内容都经过加密,可能具有多个密钥,并分布在数据中心。 要存储的每个文件将分解为一个或多个区块,具体取决于其大小。 然后,使用每个区块自己的唯一密钥对其进行加密。 类似地处理更新:将用户提交的更改或增量集分成多个区块,并使用其自己的密钥进行加密。
在我们的 blob 存储中,所有这些区块(文件、文件片段和更新增量)都存储为 blob。 它们还会随机分布在多个 blob 容器中。
用于从其组件重新组合文件的“映射”存储在内容数据库中。
每个 blob 容器根据访问类型(读取、写入、枚举和删除)的不同,具有其自己的唯一凭据。 每组凭据都存放在安全的密钥存储中,并定期刷新。
换言之,静态的每个文件加密涉及三种不同存储类型,每种类型都有不同的功能:
在 blob 存储中,将内容存储为加密的 blob。 每个内容区块的密钥都进行加密,并单独存储在内容数据库中。 内容本身不包含如何对其进行解密的任何线索。
"内容数据库"是一个 SQL Server 数据库。 它保存定位和重新组合 Blob 存储中保存的所有内容 Blob 所需的映射,以及解密这些 Blob 所需的密钥。
这三个存储组件(blob 存储、内容数据库和密钥存储)在物理上相互独立。 保留在其中任一个组件中的信息在其自身上都不可用。 此策略提供前所未有的安全级别。 如果无法访问这三个区块,则无法检索区块的密钥、解密密钥以使其可用、将密钥与其相应的区块关联、解密任何区块或从其构成区块重新构造文档。