了解如何加密待用 Microsoft 365 數據
Microsoft 365 中所有待用客戶內容都會受到一或多種加密形式的保護。 BitLocker 用於磁碟區層級的磁碟驅動器,確保所有待用數據都已加密。 BitLocker 加密是 Windows 內建的資料保護功能,可與作業系統整合,降低因電腦遺失、遭竊或不當解除委任而導致資料遭竊或暴露的威脅。 除了使用 BitLocker 進行磁碟區層級加密之外,Microsoft 365 服務還會在應用層級整合另一層加密,以進一步保護客戶數據。
BitLocker 磁碟區層級加密
BitLocker 使用進階加密標準 (AES) 256 位元加密部署於包含客戶資料的磁碟上。 磁碟磁區會使用完整磁碟區加密金鑰 (FVEK) 進行加密,而此金鑰本身會使用磁碟區主要金鑰 (VMK) 加密,後者再繫結至伺服器中的信賴平台模組 (TPM)。 由於 VMK 會直接保護 FVEK,因此要防止未經授權者存取 FVEK,使用 TPM 保護 VMK 是非常重要的。 BitLocker 會使用與 FIPS 相容的演算法,確保加密密鑰不會以純文字儲存或透過網路傳送。 Microsoft 365 實作的客戶待用資料保護與預設的 BitLocker 實作並不違背。
BitLocker 支援分屬於兩種管理類別的金鑰:
- BitLocker 管理的金鑰通常是短期的,並繫結至安裝在伺服器或特定磁碟上的作業系統執行個體的生命週期。 這些金鑰在伺服器重新安裝或磁碟格式化期間會刪除並重設。
- BitLocker 復原金鑰 (在 BitLocker 外部受到管理) 用於磁碟解密。 對於重新安裝作業系統,且加密資料磁碟已存在的案例,BitLocker 會使用復原金鑰。 在回應者可能需要解除鎖定磁碟的 Exchange Online 中,受管理的可用性監視探查也會使用復原金鑰。
BitLocker 金鑰管理可保護用來解除鎖定及復原 Microsoft 資料中心所含加密磁碟的復原金鑰。 Microsoft 365 會將主要金鑰存放在安全共用中,只有經過篩選和核准的人員才能存取。 金鑰的認證會存放在存取控制資料的安全存放庫 (我們稱之為「秘密存放區」) 中,需要高層級的提高權限和管理核准,才能使用 Just-In-Time (JIT) 存取提高權限工具來存取。
服務層級加密
Exchange Online、Microsoft Teams、SharePoint Online 和商務用 OneDrive 全都使用服務層級加密,為待用客戶數據提供額外的安全性層級。
Exchange Online 使用 BitLocker 在信箱層級加密所有信箱數據,包括商務用 Skype 使用者產生的數據。 SharePoint Online 中的客戶檔案會受到單一租用戶獨佔的個別檔案密鑰所保護。 在上傳期間,每個檔案 (包括每個更新的檔案) 會分割成區塊,並使用自己的唯一 AES 256 位密鑰個別加密。 區塊接著會儲存為 Azure 記憶體中的 Blob,並隨機分散在不同的 Blob 容器之間。 用來在下載時重新建構檔案的區塊、索引鍵和對應都會儲存在不同的位置。 Azure 記憶體無法存取加密的數據。 包括 Microsoft Teams 和商務用 OneDrive 在內的多個 Microsoft 365 工作負載會利用 SharePoint Online 來儲存客戶數據。
客戶有兩個服務層級加密金鑰管理選項:
- Microsoft 管理的金鑰 - 針對未使用客戶金鑰的客戶的預設實作中,Microsoft 會管理用於服務加密的所有密碼編譯金鑰。 目前預設會為 Exchange Online、SharePoint Online 和商務用 OneDrive 啟用此選項。 除非客戶採用客戶金鑰,否則 Microsoft 受管理金鑰會提供預設服務加密。
- 客戶金鑰 - 此選項可讓客戶使用自己的根金鑰來加密客戶資料。 客戶金鑰會上傳至 Azure Key Vault 或在其中產生,使得客戶能夠控制 Microsoft 服務解密及處理客戶資料的能力。 此選項目前適用於 Exchange Online、SharePoint Online 和商務用 OneDrive。
無論選取的金鑰管理選項是什麼,根金鑰都會用來保護服務加密所使用的金鑰階層。 用於服務加密的所有金鑰會安全地儲存在私人存放庫 (例如 Azure Key Vault) 中,在其中,它們可於未由 Microsoft 人員直接存取的情況下,供自動化服務代碼使用。 服務加密包括定期金鑰輪替,以維持金鑰安全性。 金鑰輪替會透過基於金鑰類型在內部定義的排程上的自動化服務代碼進行。 使用客戶金鑰的客戶,需負責根據本身的安全性和合規性需求來輪替其根客戶金鑰。 接下來的兩個單元將更詳細地討論這兩個選項。