加密风险和保护
Microsoft 遵循控制和合规性框架,该框架侧重于 Microsoft 365 服务和客户数据的风险。 Microsoft 实施大量基于技术和流程的方法, (称为控制) 来缓解这些风险。 通过控制识别、评估和缓解风险是一个持续的过程。
在云服务的各个层(如设施、网络、服务器、应用程序、用户 ((如 Microsoft 管理员) 和数据)中实现控制构成了深层防御策略。 此策略的关键是在不同的层实现许多不同的控制措施,以防止相同或类似的风险方案。 这种多层方法在控件因某种原因失败时提供故障安全保护。
下面列出了一些风险方案以及当前可用的加密技术来缓解这些风险。 在许多情况下,这些方案也通过Office 365中实现的其他控制来缓解。
| 加密技术 | 服务 | 密钥管理 | 风险方案 | 值 |
|---|---|---|---|---|
| BitLocker | Exchange Online、SharePoint Online 和 Skype for Business | Microsoft | 磁盘或服务器被盗或被不当回收。 | BitLocker 提供了一种故障安全方法,可防止由于硬件 (服务器/磁盘) 被盗或不当回收而导致数据丢失。 |
| 服务加密 | SharePoint Online、Skype for Business 和 OneDrive for Business;Exchange Online | Microsoft | 内部或外部黑客尝试以 Blob 的形式访问单个文件/数据。 | 在没有访问密钥的情况下,无法解密加密的数据。 帮助降低黑客访问数据的风险。 |
| 客户密钥 | SharePoint Online、OneDrive for Business、Exchange Online和Skype for Business | 客户 | 不适用 (此功能设计为合规性功能;不能缓解任何风险。) | 帮助客户履行内部法规和合规性义务,并能够离开服务并撤销 Microsoft 对数据的访问权限 |
| Microsoft 365 和客户端之间的 TLS | Exchange Online、SharePoint Online、OneDrive for Business、Skype for Business、Teams 和Viva Engage | Microsoft、客户 | 中间人攻击或其他攻击,通过 Internet 访问 Microsoft 365 与客户端计算机之间的数据流。 | 此实现为 Microsoft 和客户提供价值,并确保数据在 Microsoft 365 和客户端之间流动时的完整性。 |
| Microsoft 数据中心之间的 TLS | Exchange Online、SharePoint Online、OneDrive for Business和Skype for Business | Microsoft | 中间人攻击或其他攻击,以利用位于不同 Microsoft 数据中心的 Microsoft 365 服务器之间的客户数据流。 | 此实现是保护数据免受 Microsoft 数据中心之间攻击的另一种方法。 |
| Microsoft 365 或 Azure 信息保护) 中包含的 Azure Rights Management ( | Exchange Online、SharePoint Online 和 OneDrive for Business | 客户 | 数据落入不应有权访问数据的人员手中。 | Azure 信息保护使用 Azure RMS,它通过使用加密、标识和授权策略来帮助跨多个设备保护文件和电子邮件,从而为客户提供价值。 Azure RMS 为客户提供了价值,其中源自 Microsoft 365 的所有电子邮件都符合特定条件 (即发往特定地址的所有电子邮件) 在发送给另一收件人之前可以自动加密。 |
| S/MIME | Exchange Online | 客户 | Email落入非预期接收者手中。 | S/MIME 通过确保使用 S/MIME 加密的电子邮件只能由电子邮件的直接收件人解密来为客户提供价值。 |
| Office 365 邮件加密 | Exchange Online、SharePoint Online | 客户 | Email(包括受保护的附件)落入 Microsoft 365 内部或外部的人员手中,该人员不是电子邮件的预期收件人。 | OME 为客户提供了价值,其中源自 Microsoft 365 的所有电子邮件都符合特定条件 (即发送到特定地址的所有电子邮件) 在发送给另一个内部或外部收件人之前自动加密。 |
| 与合作伙伴组织的 SMTP TLS | Exchange Online | 客户 | Email在从 Microsoft 365 租户传输到另一个合作伙伴组织时,通过中间人或其他攻击截获。 | 此方案为客户提供了价值,以便他们可以在加密 SMTP 通道内的 Microsoft 365 租户与其合作伙伴的电子邮件组织之间发送/接收所有电子邮件。 |
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
多租户环境中可用的加密技术
| 加密技术 | 实现者 | 密钥交换算法和强度 | 密钥管理* | FIPS 140-2 已验证 |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 位 | AES 外部密钥存储在 Secret Safe 和 Exchange 服务器的注册表中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 |
| SharePoint Online | AES 256 位 | AES 外部密钥存储在机密安全中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 | |
| Skype for Business | AES 256 位 | AES 外部密钥存储在机密安全中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 | |
| 服务加密 | SharePoint Online | AES 256 位 | 用于加密 Blob 的密钥存储在 SharePoint Online 内容数据库中。 SharePoint Online 内容数据库受数据库访问控制和静态加密的保护。 使用 Azure SQL 数据库中的 TDE 执行加密。 这些机密位于 SharePoint Online 的服务级别,而不是租户级别。 这些机密 (有时称为主密钥,) 存储在称为密钥存储的独立安全存储库中。 TDE 为活动数据库以及数据库备份和事务日志提供静态安全性。 当客户提供可选密钥时,客户密钥存储在 Azure 密钥保管库中,服务使用该密钥来加密租户密钥,该密钥用于加密站点密钥,然后使用该密钥对文件级密钥进行加密。 实质上,当客户提供密钥时,会引入新的密钥层次结构。 | 是 |
| Skype for Business | AES 256 位 | 每个数据片段都使用不同的随机生成的 256 位密钥进行加密。 加密密钥存储在相应的元数据 XML 文件中,该文件也由每个会议的主密钥加密。 每个会议也会随机生成一次主密钥。 | 是 | |
| Exchange Online | AES 256 位 | 每个邮箱都使用数据加密策略进行加密,该策略使用由 Microsoft 或客户控制的加密密钥 (使用客户密钥) 。 | 是 | |
| Microsoft 365 与客户端/合作伙伴之间的 TLS | Exchange Online | 支持多个密码套件的机会性 TLS | Exchange Online (outlook.office.com) 的 TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 Exchange Online的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA1RSA证书。 |
是,使用 256 位密码强度的 TLS 1.2 时 |
| SharePoint Online | 使用 AES 256 的 TLS 1.2 OneDrive for Business 和 SharePoint Online 中的数据加密 |
SharePoint Online (.sharepoint.com) TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 SharePoint Online 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA1RSA证书。 |
是 | |
| Skype for Business | 用于 SIP 通信和 PSOM 数据共享会话的 TLS | Skype for Business (*.lync.com) 的 TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 Skype for Business的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 |
是 | |
| Microsoft Teams | 使用 AES 256 的 TLS 1.2 有关 Microsoft Teams 的常见问题 - 管理员帮助 |
Microsoft Teams (teams.microsoft.com 的 TLS 证书 edge.skype.com) 是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 Microsoft Teams 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 |
是 | |
| Microsoft 数据中心之间的 TLS | 所有 Microsoft 365 服务 | 使用 AES 256 的 TLS 1.2 保护实时传输协议 (SRTP) |
Microsoft 使用内部管理和部署的证书颁发机构在 Microsoft 数据中心之间进行服务器到服务器通信。 | 是 |
| Microsoft 365 或 Azure 信息保护) 中包含的 Azure Rights Management ( | Exchange Online | 支持 加密模式 2,这是一种更新和增强的 RMS 加密实现。 它支持 RSA 2048 进行签名和加密,支持 SHA-256 用于签名中的哈希。 | 由 Microsoft 管理。 | 是 |
| SharePoint Online | 支持 加密模式 2,这是一种更新和增强的 RMS 加密实现。 它支持用于签名和加密的 RSA 2048,以及用于签名的 SHA-256。 | 由 Microsoft 管理,这是默认设置;或 客户管理的密钥是 Microsoft 管理的密钥的替代方法。 拥有 IT 托管的 Azure 订阅的组织可以使用 BYOK 并记录其使用情况,无需额外付费。 有关详细信息,请参阅 实现自带密钥。 在此配置中,nCipher HSM 用于保护密钥。 |
是 | |
| S/MIME | Exchange Online | 加密消息语法标准 1.5 (PKCS #7) | 取决于部署的客户管理的公钥基础结构。 密钥管理由客户执行,Microsoft 永远无法访问用于签名和解密的私钥。 | 是,配置为使用 3DES 或 AES256 加密传出消息时 |
| Office 365 邮件加密 | Exchange Online | 与 Azure RMS (加密模式 2 相同 - RSA 2048 用于签名和加密,SHA-256 用于签名) | 使用 Azure 信息保护 作为其加密基础结构。 所使用的加密方法取决于从何处获取用来加密和解密邮件的 RMS 密钥。 | 是 |
| 与合作伙伴组织的 SMTP TLS | Exchange Online | 使用 AES 256 的 TLS 1.2 | Exchange Online (outlook.office.com) 的 TLS 证书是 2048 位 SHA-256,其 RSA 加密证书由 DigiCert 云服务 CA-1 颁发。 Exchange Online的 TLS 根证书是一个 2048 位 SHA-1,具有由 GlobalSign 根 CA – R1 颁发的 RSA 加密证书。 请注意,出于安全原因,我们的证书会不时发生更改。 |
是,使用 256 位密码强度的 TLS 1.2 时 |
*此表中引用的 TLS 证书适用于美国数据中心;非美国数据中心也使用 2048 位SHA256RSA证书。
政府云社区环境中可用的加密技术
| 加密技术 | 实现者 | 密钥交换算法和强度 | 密钥管理* | FIPS 140-2 已验证 |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 位 | AES 外部密钥存储在 Secret Safe 和 Exchange 服务器的注册表中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 |
| SharePoint Online | AES 256 位 | AES 外部密钥存储在机密安全中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 | |
| Skype for Business | AES 256 位 | AES 外部密钥存储在机密安全中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 | |
| 服务加密 | SharePoint Online | AES 256 位 | 用于加密 Blob 的密钥存储在 SharePoint Online 内容数据库中。 SharePoint Online 内容数据库受数据库访问控制和静态加密的保护。 使用 Azure SQL 数据库中的 TDE 执行加密。 这些机密位于 SharePoint Online 的服务级别,而不是租户级别。 这些机密 (有时称为主密钥,) 存储在称为密钥存储的独立安全存储库中。 TDE 为活动数据库以及数据库备份和事务日志提供静态安全性。 当客户提供可选密钥时,客户密钥存储在 Azure 密钥保管库 中,服务使用该密钥来加密租户密钥,该密钥用于加密站点密钥,然后使用该密钥来加密文件级密钥。 实质上,当客户提供密钥时,会引入新的密钥层次结构。 | 是 |
| Skype for Business | AES 256 位 | 每个数据片段都使用不同的随机生成的 256 位密钥进行加密。 加密密钥存储在相应的元数据 XML 文件中,该文件也由每个会议的主密钥加密。 每个会议也会随机生成一次主密钥。 | 是 | |
| Exchange Online | AES 256 位 | 每个邮箱都使用数据加密策略进行加密,该策略使用由 Microsoft 或客户控制的加密密钥 (使用客户密钥) 。 | 是 | |
| Microsoft 365 与客户端/合作伙伴之间的 TLS | Exchange Online | 支持多个密码套件的机会性 TLS | Exchange Online (outlook.office.com) 的 TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 Exchange Online的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA1RSA证书。 |
是,使用 256 位密码强度的 TLS 1.2 时 |
| SharePoint Online | 使用 AES 256 的 TLS 1.2 | SharePoint Online (.sharepoint.com) TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 SharePoint Online 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA1RSA证书。 |
是 | |
| Skype for Business | 用于 SIP 通信和 PSOM 数据共享会话的 TLS | Skype for Business (*.lync.com) 的 TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 Skype for Business的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 |
是 | |
| Microsoft Teams | 有关 Microsoft Teams 的常见问题 - 管理员帮助 | Microsoft Teams (teams.microsoft.com 的 TLS 证书;edge.skype.com) 是巴尔的摩网络信任根颁发的 2048 位SHA256RSA证书。 Microsoft Teams 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 |
是 | |
| Microsoft 数据中心之间的 TLS | Exchange Online、SharePoint Online Skype for Business | 使用 AES 256 的 TLS 1.2 | Microsoft 使用内部管理和部署的证书颁发机构在 Microsoft 数据中心之间进行服务器到服务器通信。 | 是 |
| 保护实时传输协议 (SRTP) | ||||
| Azure Rights Management Service | Exchange Online | 支持 加密模式 2,这是一种更新和增强的 RMS 加密实现。 它支持 RSA 2048 进行签名和加密,支持 SHA-256 用于签名中的哈希。 | 由 Microsoft 管理。 | 是 |
| SharePoint Online | 支持 加密模式 2,这是一种更新和增强的 RMS 加密实现。 它支持 RSA 2048 进行签名和加密,支持 SHA-256 用于签名中的哈希。 | 由 Microsoft 管理,这是默认设置;或 客户管理的 (也称为 BYOK) ,这是 Microsoft 管理的密钥的替代方法。 拥有 IT 托管的 Azure 订阅的组织可以使用 BYOK 并记录其使用情况,无需额外付费。 有关详细信息,请参阅 实现自带密钥。 在 BYOK 方案中,nCipher HSM 用于保护密钥。 |
是 | |
| S/MIME | Exchange Online | 加密消息语法标准 1.5 (PKCS #7) | 取决于部署的公钥基础结构。 | 是,配置为使用 3DES 或 AES-256 加密传出消息时。 |
| Office 365 邮件加密 | Exchange Online | 与 Azure RMS (加密模式 2 相同 - RSA 2048 用于签名和加密,SHA-256 用于签名) | 使用 Azure RMS 作为其加密基础结构。 所使用的加密方法取决于从何处获取用来加密和解密邮件的 RMS 密钥。 如果使用 Microsoft Azure RMS 获取密钥,则使用加密模式 2。 如果您使用 Active Directory (AD) RMS 获取这些密钥,则可以使用加密模式 1,也可以使用加密模式 2。 使用的方法取决于您的本地 AD RMS 部署。 加密模式 1 是原始的 AD RMS 加密实现。 它支持 RSA 1024 进行签名和加密,并支持 SHA-1 签名。 除使用 HSM 的 BYOK 配置外,所有当前版本的 RMS 都继续支持此模式。 |
是 |
| 与合作伙伴组织的 SMTP TLS | Exchange Online | 使用 AES 256 的 TLS 1.2 | Exchange Online (outlook.office.com) 的 TLS 证书是 2048 位 SHA-256,其 RSA 加密证书由 DigiCert 云服务 CA-1 颁发。 Exchange Online的 TLS 根证书是一个 2048 位 SHA-1,具有由 GlobalSign 根 CA – R1 颁发的 RSA 加密证书。 请注意,出于安全原因,我们的证书会不时发生更改。 |
是,使用 256 位密码强度的 TLS 1.2 时 |
*此表中引用的 TLS 证书适用于美国数据中心;非美国数据中心也使用 2048 位SHA256RSA证书。