OneDrive 和 SharePoint 中的數據加密
瞭解 OneDrive 和 SharePoint 中資料安全性加密的基本元素。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
Microsoft 365 中的安全性和數據加密
Microsoft 365 是高度安全的環境,可在多個層級中提供廣泛的保護:實體資料中心安全性、網路安全性、存取安全性、應用程式安全性和數據安全性。 本文特別著重於 OneDrive 和 SharePoint 數據安全性的傳輸中和待用加密端。
觀看下列影片,了解資料加密如何運作。
傳輸中資料的加密
在 OneDrive 和 SharePoint 中,有兩種情況會讓數據進入和結束數據中心。
用戶端與伺服器的通訊 透過因特網與 OneDrive 的通訊會使用 SSL/TLS 連線。 所有 TLS 連線都是使用 2048 位金鑰來建立。
數據中心之間的數據移動 在數據中心之間移動數據的主要原因是異地復寫啟用災害復原。 例如,SQL Server交易記錄和 Blob 儲存體差異會隨時此管道流動。 雖然此數據已使用專用網傳輸,但會進一步受到最佳加密的保護。
靜態資料的加密
靜態加密包括兩個元件:BitLocker 磁碟層級加密,以及客戶內容的每一檔案加密。
BitLocker 會部署於整個服務的 OneDrive 和 SharePoint。 個別檔案加密也位於 OneDrive 和 SharePoint 中,Microsoft 365 多租使用者和以多租用戶技術為基礎的新專用環境。
當 BitLocker 加密磁碟中的所有資料時,每一檔案的加密會進一步地納入每個檔案唯一的加密金鑰。 此外,每個檔案的每次更新都會使用自己的加密金鑰進行加密。 加密內容的金鑰會儲存在實際與內容分開的位置。 此加密的每個步驟都會使用搭配 256 位元機碼的進階加密標準 (AES),並與聯邦資訊處理標準 (FIPS) 140-2 相容。 加密的內容會分散到整個數據中心的許多容器,而且每個容器都有唯一的認證。 這些認證會儲存在內容或內容金鑰等不同的實體位置。
如需 FIPS 140-2 合規性的詳細資訊,請參閱 FIPS 140-2 合規性。
待用檔案層級加密會利用 Blob 記憶體來提供記憶體成長,並啟用前所未有的保護。 OneDrive 和 SharePoint 中的所有客戶內容都會移轉至 Blob 記憶體。 以下是保護資料的方法:
所有內容都會加密,可能具有多個密鑰,並分散到數據中心。 每個要儲存的檔案都會分成一或多個區塊,視其大小而定。 接著,每個區塊都會使用自己唯一的金鑰加密。 也會以相同的方式處理更新:由使用者提交的變更集或差異項目都會分成數個區塊,每個區塊都會以自己的金鑰加密。
所有這些區塊—包括檔案、檔案片段及更新差異項目—都會在我們的 Blob 存放區中儲存為 Blob。 這些區塊也會隨機地分散至多個 Blob 容器中。
用來從其元件重新編譯檔案的「對應」會儲存在內容資料庫中。
每個 Blob 容器中的存取類型 (包括讀取、寫入、列舉及刪除) 都有自己特有的認證。 每個認證集都會保留在安全的金鑰存放區中,且會定期重新整理。
換句話說,每一檔案靜態加密都包含三種不同的儲存類型,每個類型都有不同的功能:
內容會在 Blob 存放區中儲存為已加密 Blob。 每個內容區塊的金鑰都會加密,且分別儲存在內容資料庫中。 內容本身不會保留任何解密線索。
內容資料庫是 SQL Server 資料庫。 它會保存所需的對應,以找出並重新編譯 Blob 存放區中保留的所有內容 Blob,以及解密這些 Blob 所需的金鑰。
這三個記憶體元件中的每一個,即 Blob 存放區、內容資料庫和密鑰存放區,實際上都是分開的。 任何一個元件中保留的資訊本身都無法使用。 此策略提供前所未有的安全性層級。 若沒有這三個專案的存取權,就無法擷取區塊的密鑰、解密密鑰使其可供使用、將索引鍵與其對應的區塊建立關聯、解密任何區塊,或從其組成區塊重新建構檔。