Información general sobre el cifrado y la administración de claves
¿Qué rol desempeña el cifrado en la protección del contenido del cliente?
La mayoría de los servicios en la nube empresarial de Microsoft son multiinquilino, lo que significa que el contenido del cliente puede almacenarse en el mismo hardware físico que otros clientes. Para proteger la confidencialidad del contenido de los clientes, los servicios en línea de Microsoft cifran todos los datos en reposo y en tránsito con algunos de los protocolos de cifrado más seguros y seguros disponibles.
El cifrado no sustituye a los controles de acceso seguro. La directiva de control de acceso de Microsoft de Acceso permanente cero (ZSA) protege el contenido del cliente del acceso no autorizado por parte de los empleados de Microsoft. El cifrado complementa el control de acceso protegiendo la confidencialidad del contenido del cliente dondequiera que esté almacenado y evitando que el contenido se lea mientras está en tránsito entre los sistemas de servicios en línea de Microsoft o entre los servicios en línea de Microsoft y el cliente.
¿Cómo cifran los servicios en línea de Microsoft los datos en reposo?
Todo el contenido de los clientes de los servicios en línea de Microsoft está protegido por una o más formas de cifrado. Los servidores de Microsoft usan BitLocker para cifrar las unidades de disco que contienen contenido del cliente en el nivel de volumen. El cifrado proporcionado por BitLocker protege el contenido del cliente si hay lapsos en otros procesos o controles (por ejemplo, control de acceso o reciclaje de hardware) que podrían provocar acceso físico no autorizado a discos que contienen contenido del cliente.
Además del cifrado a nivel de volumen, los servicios en línea de Microsoft usan cifrado de servicio en la capa de aplicación para cifrar el contenido del cliente. El cifrado de servicio proporciona características de administración y protección de derechos además de una protección de cifrado segura. También permite la separación entre los Windows operativos y los datos del cliente almacenados o procesados por dichos sistemas operativos.
¿Cómo cifran los servicios en línea de Microsoft los datos en tránsito?
Los servicios en línea de Microsoft usan protocolos de transporte sólidos, como TLS, para evitar que las partes no autorizadas realicen escuchas a los datos de los clientes mientras se mueven a través de una red. Algunos ejemplos de datos en tránsito incluyen mensajes de correo que están en proceso de entrega, conversaciones que tienen lugar en una reunión en línea o archivos que se replican entre centros de datos.
Para los servicios en línea de Microsoft, los datos se consideran "en tránsito" siempre que el dispositivo de un usuario se comunica con un servidor de Microsoft o cuando un servidor de Microsoft se comunica con otro servidor.
¿Cómo administran los servicios en línea de Microsoft las claves usadas para el cifrado?
El cifrado seguro es tan seguro como las claves usadas para cifrar datos. Microsoft usa sus propios certificados de seguridad para cifrar las conexiones TLS para los datos en tránsito. Para los datos en reposo, los volúmenes protegidos con BitLocker se cifran con una clave de cifrado de volumen completo, que se cifra con una clave maestra de volumen, que a su vez está enlazada al Módulo de plataforma de confianza (TPM) del servidor. BitLocker usa algoritmos compatibles con FIPS para asegurarse de que las claves de cifrado nunca se almacenan o envían a través del cable de forma clara.
El cifrado de servicio proporciona otra capa de cifrado para los datos en reposo del cliente, lo que ofrece a los clientes dos opciones para la administración de claves de cifrado: claves administradas por Microsoft o Clave de cliente. Al usar claves administradas por Microsoft, los servicios en línea de Microsoft generan automáticamente y almacenan de forma segura las claves raíz usadas para el cifrado de servicios.
Los clientes con requisitos para controlar sus propias claves de cifrado raíz pueden usar cifrado de servicio con clave de cliente. Con la clave de cliente, los clientes pueden generar sus propias claves criptográficas mediante un módulo de servicio de hardware (HSM) local o Azure Key Vault (AKV). Las claves raíz del cliente se almacenan en AKV, donde se pueden usar como raíz de una de las cadenas de claves que cifra los datos o archivos del buzón de cliente. El código de servicio en línea de Microsoft solo puede acceder indirectamente a las claves raíz del cliente para el cifrado de datos y los empleados de Microsoft no pueden acceder directamente a las claves raíz.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de controles relacionados con el cifrado y la administración de claves.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
2 de diciembre de 2020 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.11.6: Cifrado de PII transmitido a través de redes públicas de transmisión de datos | 2 de diciembre de 2020 |
| SOC 1 SOC 2 SOC 3 |
DS-1: Almacenamiento seguro de claves y certificados criptográficos DS-2: Los datos del cliente se cifran en tránsito DS-3: Comunicación interna de componentes de Azure cifrados en tránsito DS-4: controles y procedimientos criptográficos |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | SC-8: confidencialidad e integridad de transmisión SC-13: Uso de criptografía SC-28: Protección de la información en reposo |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.10.1: Controles criptográficos A.18.1.5: Controles criptográficos |
20 de abril de 2021 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.11.6: Cifrado de PII transmitido a través de redes públicas de transmisión de datos | 20 de abril de 2021 |
| SOC 2 | CA-44: cifrado de datos en tránsito CA-54: cifrado de datos en reposo CA-62: Cifrado de buzones de correo de clave de cliente CA-63: Eliminación de datos de clave de cliente CA-64: Clave de cliente |
24 de diciembre de 2020 |
| SOC 3 | CUEC-16: Claves de cifrado del cliente CUEC-17: Almacén de claves de cliente CUEC-18: Giro de clave de cliente |
24 de diciembre de 2020 |