加密风险和保护
Microsoft 365 遵循一个控制和合规性框架,该框架侧重于服务和客户数据的风险。 该服务实施一组基于技术和流程的方法(称为控制),以缓解这些风险。 通过控制识别、评估和缓解风险是一个持续的过程。
在云服务层(如设施、网络、服务器、应用程序、用户 ((如Microsoft管理员) 和数据)内实现控制构成深层防御策略。 此策略的关键是在不同的层实现许多不同的控制措施,以防止相同或类似的风险方案。 这种多层方法在控制失败时提供故障安全保护。
此表中列出了一些风险方案以及当前可用的加密技术来缓解这些风险。 在许多情况下,Microsoft 365 中实现的其他控件也会缓解这些情况。
| 加密技术 | 服务 | 密钥管理 | 风险方案 | 值 |
|---|---|---|---|---|
| BitLocker | Exchange 和 SharePoint | Microsoft | 磁盘或服务器被盗或被不当回收。 | BitLocker 提供了一种故障安全方法,可防止由于硬件 (服务器/磁盘) 被盗或不当回收而导致数据丢失。 |
| 服务加密 | SharePoint 和 OneDrive;交换 | Microsoft | 内部或外部黑客尝试以 Blob 的形式访问单个文件/数据。 | 如果没有访问密钥,则无法解密加密的数据。 帮助降低黑客访问数据的风险。 |
| 客户密钥 | SharePoint、OneDrive 和 Exchange | 客户 | 不适用 (此功能设计为合规性功能;不能缓解任何风险。) | 帮助客户履行内部法规和合规性义务,并能够离开服务并撤销Microsoft对数据的访问权限 |
| Microsoft 365 和客户端之间的传输层安全性 (TLS) | Exchange、SharePoint、OneDrive、Teams 和 Viva Engage | Microsoft、客户 | 中间人攻击或其他攻击,以通过 Internet 访问 Microsoft 365 和客户端计算机之间的数据流。 | 此实现为Microsoft和客户提供价值,并确保数据在 Microsoft 365 和客户端之间流动时的完整性。 |
| Microsoft数据中心之间的 TLS | Exchange、SharePoint 和 OneDrive | Microsoft | 中间人攻击或其他攻击,以利用位于不同Microsoft数据中心的 Microsoft 365 台服务器之间的客户数据流。 | 此实现是保护数据免受Microsoft数据中心之间攻击的另一种方法。 |
| Microsoft 365 或 Azure 信息保护) 中包含的 Azure Rights Management (Azure RMS) ( | Exchange、SharePoint 和 OneDrive | 客户 | 数据落入不应有权访问数据的人员手中。 | Azure 信息保护使用 Azure RMS,它通过使用加密、标识和授权策略来帮助跨多个设备保护文件和电子邮件,从而为客户提供价值。 Azure RMS 提供了配置选项,例如,发自 Microsoft 365 的所有电子邮件都符合特定条件 (可以在发送到其他收件人之前自动加密发往特定地址) 的所有电子邮件。 |
| S/MIME | Exchange | 客户 | 不是预期收件人的人员获得了一封电子邮件。 | S/MIME 有助于确保只有预期的收件人才能解密加密的电子邮件。 |
| Microsoft Purview 邮件加密 | Exchange、SharePoint | 客户 | 非预期收件人的人员获得了电子邮件及其受保护的附件。 | 邮件加密允许配置租户,以便源自 Microsoft 365 且符合特定条件的电子邮件 (例如,发往特定地址的所有电子邮件) 在发送前自动加密。 |
| 与合作伙伴组织 (SMTP) TLS 的简单邮件传输协议 | Exchange | 客户 | Email在从 Microsoft 365 租户传输到合作伙伴组织时,通过中间人或其他攻击截获。 | 允许在加密 SMTP 通道内发送和接收Microsoft 365 租户与合作伙伴的电子邮件组织之间的所有电子邮件。 |
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
多租户环境中可用的加密技术
| 加密技术 | 实现者 | 密钥交换算法和强度 | 密钥管理* | 联邦信息处理标准 (FIPS) 140-2 验证 |
|---|---|---|---|---|
| BitLocker | Exchange | 高级加密Standard (AES) 256 位 | AES 外部密钥存储在机密安全和 Exchange 服务器的注册表中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 |
| SharePoint | AES 256 位 | AES 外部密钥存储在机密保险箱中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 | |
| Skype for Business | AES 256 位 | AES 外部密钥存储在机密保险箱中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 | |
| 服务加密 | SharePoint | AES 256 位 | 用于加密 Blob 的密钥存储在 SharePoint 内容数据库中。 SharePoint 内容数据库受数据库访问控制和静态加密的保护。 Azure SQL 数据库中使用透明数据加密 (TDE) 执行加密。 这些机密位于 SharePoint 的服务级别,而不是租户级别。 这些机密 (有时称为主密钥,) 存储在称为密钥存储的独立安全存储库中。 TDE 为活动数据库以及数据库备份和事务日志提供静态安全性。 当客户提供可选密钥时,密钥存储在 Azure 密钥保管库 中,服务使用该密钥对租户密钥进行加密,该密钥用于加密站点密钥,然后使用该密钥对文件级密钥进行加密。 实质上,当客户提供密钥时,会引入新的密钥层次结构。 | 是 |
| Skype for Business | AES 256 位 | 每个数据片段都使用不同的随机生成的 256 位密钥进行加密。 加密密钥存储在相应的元数据 XML 文件中,该文件由每个会议的主密钥加密。 每个会议也会随机生成一次主密钥。 | 是 | |
| Exchange | AES 256 位 | 每个邮箱都使用数据加密策略进行加密,该策略使用由Microsoft或客户 (使用客户密钥) 控制的加密密钥。 | 是 | |
| Microsoft 365 与客户端/合作伙伴之间的 TLS | Exchange | 支持多个密码套件的机会性 TLS | Exchange (outlook.office.com) TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 Exchange 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA1RSA证书。 |
是,使用 256 位密码强度的 TLS 1.2 时 |
| SharePoint | 使用 AES 256 的 TLS 1.2 OneDrive 和 SharePoint 中的数据加密 |
SharePoint (*.sharepoint.com) TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 SharePoint 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA1RSA证书。 |
是 | |
| Microsoft Teams | 使用 AES 256 的 TLS 1.2 有关 Microsoft Teams 的常见问题 - 管理员帮助 |
Microsoft Teams (teams.microsoft.com 的 TLS 证书 edge.skype.com) 是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 Microsoft Teams 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 |
是 | |
| Microsoft数据中心之间的 TLS | 所有Microsoft 365 服务 | 使用 AES 256 的 TLS 1.2 保护实时传输协议 (SRTP) |
Microsoft使用内部管理和部署的证书颁发机构在Microsoft数据中心之间进行服务器到服务器通信。 | 是 |
| Microsoft 365 或 Azure 信息保护) 中包含的 Azure Rights Management ( | Exchange | 支持 加密模式 2,这是一种更新和增强的 RMS 加密实现。 它支持 RSA 2048 进行签名和加密,支持 SHA-256 用于签名中的哈希。 | 由 Microsoft 管理。 | 是 |
| SharePoint | 支持 加密模式 2,这是一种更新和增强的 RMS 加密实现。 它支持用于签名和加密的 RSA 2048,以及用于签名的 SHA-256。 |
由 Microsoft 管理,这是默认设置;或 客户托管,这是Microsoft管理的密钥的替代方法。 拥有 IT 管理的 Azure 订阅的组织可以使用自带密钥 (BYOK) 并记录其使用情况,无需额外付费。 有关详细信息,请参阅 实现自带密钥。 在此配置中, (HSM) 的密码硬件安全模块用于保护密钥。 |
是 | |
| S/MIME | Exchange | 加密消息语法 Standard 1.5 (公钥加密Standard (PKCS) #7) | 取决于部署的客户管理的公钥基础结构。 客户管理密钥,Microsoft永远无法访问用于签名和解密的私钥。 | 是,配置为使用 3DES 或 AES256 加密传出消息时 |
| Microsoft Purview 邮件加密 | Exchange | 与 Azure RMS (加密模式 2 相同 - RSA 2048 用于签名和加密,SHA-256 用于签名) | 使用 Azure 信息保护 作为其加密基础结构。 所使用的加密方法取决于从何处获取用来加密和解密邮件的 RMS 密钥。 | 是 |
| 与合作伙伴组织的 SMTP TLS | Exchange | 使用 AES 256 的 TLS 1.2 | Exchange (outlook.office.com) 的 TLS 证书是 2048 位 SHA-256,其 RSA 加密证书由 DigiCert 云服务 CA-1 颁发。 Exchange 的 TLS 根证书是 2048 位 SHA-1,其 RSA 加密证书由 GlobalSign 根 CA - R1 颁发。 出于安全原因,我们的证书会不时更改。 |
是,使用 256 位密码强度的 TLS 1.2 时 |
*此表中引用的 TLS 证书适用于美国数据中心;非美国数据中心也使用 2048 位SHA256RSA证书。
政府云社区环境中可用的加密技术
| 加密技术 | 实现者 | 密钥交换算法和强度 | 密钥管理* | FIPS 140-2 已验证 |
|---|---|---|---|---|
| BitLocker | Exchange | AES 256 位 | AES 外部密钥存储在机密安全和 Exchange 服务器的注册表中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 |
| SharePoint | AES 256 位 | AES 外部密钥存储在机密保险箱中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 | |
| Skype for Business | AES 256 位 | AES 外部密钥存储在机密保险箱中。 机密安全是一个受保护的存储库,需要高级提升和批准才能访问。 只能使用名为“密码箱”的内部工具请求和批准访问权限。 AES 外部密钥也存储在服务器的受信任平台模块中。 48 位数字密码存储在 Active Directory 中,受密码箱保护。 | 是 | |
| 服务加密 | SharePoint | AES 256 位 | 用于加密 Blob 的密钥存储在 SharePoint 内容数据库中。 SharePoint 内容数据库受数据库访问控制和静态加密的保护。 使用 Azure SQL 数据库中的 TDE 执行加密。 这些机密位于 SharePoint 的服务级别,而不是租户级别。 这些机密 (有时称为主密钥,) 存储在称为密钥存储的独立安全存储库中。 TDE 为活动数据库以及数据库备份和事务日志提供静态安全性。 当客户提供可选密钥时,客户密钥将存储在 Azure 密钥保管库中。 该服务使用该密钥来加密租户密钥,该密钥用于加密站点密钥,然后使用该密钥来加密文件级密钥。 实质上,当客户提供密钥时,会引入新的密钥层次结构。 | 是 |
| Skype for Business | AES 256 位 | 每个数据片段都使用不同的随机生成的 256 位密钥进行加密。 加密密钥存储在相应的元数据 XML 文件中。 每个会议的主密钥会加密此 XML 文件。 每个会议也会随机生成一次主密钥。 | 是 | |
| Exchange | AES 256 位 | 每个邮箱都使用数据加密策略进行加密,该策略使用由Microsoft或客户 (使用客户密钥) 控制的加密密钥。 | 是 | |
| Microsoft 365 与客户端/合作伙伴之间的 TLS | Exchange | 支持多个密码套件的机会性 TLS | Exchange (outlook.office.com) TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 Exchange 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA1RSA证书。 |
是,使用 256 位密码强度的 TLS 1.2 时 |
| SharePoint | 使用 AES 256 的 TLS 1.2 | SharePoint (*.sharepoint.com) TLS 证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 SharePoint 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA1RSA证书。 |
是 | |
| Microsoft Teams | 有关 Microsoft Teams 的常见问题 - 管理员帮助 | Microsoft Teams (teams.microsoft.com 的 TLS 证书;edge.skype.com) 是巴尔的摩网络信任根颁发的 2048 位SHA256RSA证书。 Microsoft Teams 的 TLS 根证书是由 Baltimore CyberTrust Root 颁发的 2048 位SHA256RSA证书。 |
是 | |
| Microsoft数据中心之间的 TLS | Exchange、SharePoint Skype for Business | 使用 AES 256 的 TLS 1.2 | Microsoft使用内部管理和部署的证书颁发机构在Microsoft数据中心之间进行服务器到服务器通信。 | 是 |
| 保护实时传输协议 (SRTP) | ||||
| Azure Rights Management Service | Exchange | 支持 加密模式 2,这是一种更新和增强的 RMS 加密实现。 它支持 RSA 2048 进行签名和加密,支持 SHA-256 用于签名中的哈希。 | 由 Microsoft 管理。 | 是 |
| SharePoint | 支持 加密模式 2,这是一种更新和增强的 RMS 加密实现。 它支持 RSA 2048 进行签名和加密,支持 SHA-256 用于签名中的哈希。 |
由 Microsoft 管理,这是默认设置;或 客户管理的 (也称为 BYOK) ,这是Microsoft管理的密钥的替代方法。 拥有 IT 托管的 Azure 订阅的组织可以使用 BYOK 并记录其使用情况,无需额外付费。 有关详细信息,请参阅 实现自带密钥。 在 BYOK 方案中,nCipher HSM 用于保护密钥。 |
是 | |
| S/MIME | Exchange | 加密消息语法 Standard 1.5 (PKCS #7) | 取决于部署的公钥基础结构。 | 是,配置为使用 3DES 或 AES-256 加密传出消息时。 |
| Office 365 邮件加密 | Exchange | 与 Azure RMS (加密模式 2 相同 - RSA 2048 用于签名和加密,SHA-256 用于签名) | 使用 Azure RMS 作为其加密基础结构。 所使用的加密方法取决于从何处获取用来加密和解密邮件的 RMS 密钥。 如果使用 Azure RMS 获取密钥,则使用加密模式 2。 如果您使用 Active Directory (AD) RMS 获取这些密钥,则可以使用加密模式 1,也可以使用加密模式 2。 使用的方法取决于您的本地 AD RMS 部署。 加密模式 1 是原始的 AD RMS 加密实现。 它支持 RSA 1024 进行签名和加密,并支持 SHA-1 签名。 所有当前版本的 RMS 都支持此模式,但使用 HSM 的 BYOK 配置除外。 |
是 |
| 与合作伙伴组织的 SMTP TLS | Exchange | 使用 AES 256 的 TLS 1.2 | Exchange (outlook.office.com) 的 TLS 证书是 2048 位 SHA-256,其 RSA 加密证书由 DigiCert 云服务 CA-1 颁发。 Exchange 的 TLS 根证书是 2048 位 SHA-1,具有 由 GlobalSign 根 CA – R1 颁发的 RSA 加密证书。 出于安全原因,我们的证书会不时更改。 |
是,当使用 256 位密码强度的 TLS 1.2 时。 |
*此表中引用的 TLS 证书适用于美国数据中心;非美国数据中心也使用 2048 位SHA256RSA证书。