Crittografia nel Microsoft Cloud

  • Articolo

I dati dei clienti all'interno dei servizi cloud aziendali di Microsoft sono protetti da diverse tecnologie e processi, tra cui varie forme di crittografia. I dati dei clienti in questo documento includono Exchange Online contenuto della cassetta postale, il corpo della posta elettronica, le voci del calendario e il contenuto degli allegati di posta elettronica e, se applicabile, Skype for Business contenuto, il contenuto del sito di SharePoint Online e i file archiviati all'interno dei siti e i file caricati in OneDrive for Business o Skype for Business.) Microsoft usa più metodi di crittografia, protocolli e crittografie nei prodotti e nei servizi per offrire ai dati dei clienti un percorso sicuro per viaggiare attraverso i servizi cloud e per proteggere la riservatezza dei dati dei clienti archiviati all'interno dei servizi cloud. Microsoft usa alcuni dei protocolli di crittografia più sicuri e sicuri disponibili per offrire barriere all'accesso non autorizzato ai dati dei clienti. La corretta gestione delle chiavi è anche un elemento essenziale delle procedure consigliate per la crittografia e Microsoft lavora per garantire che tutte le chiavi di crittografia gestite da Microsoft siano protette correttamente.

I dati dei clienti archiviati nei servizi cloud aziendali di Microsoft sono protetti tramite una o più forme di crittografia. La convalida dei criteri di crittografia e la relativa imposizione vengono verificate in modo indipendente da più revisori di terze parti e i report di tali controlli sono disponibili nel portale di attendibilità dei servizi.

Microsoft offre tecnologie sul lato servizio che crittografa i dati dei clienti inattivi e in transito. Ad esempio, per i dati dei clienti inattivi, Microsoft Azure usa BitLocker e DM-Crypt e Microsoft 365 usa BitLocker, Crittografia del servizio di archiviazione di Azure, Distributed Key Manager (DKM) e crittografia del servizio Microsoft 365. Per i dati dei clienti in transito, Azure, Office 365, supporto commerciale Microsoft, Microsoft Dynamics 365, Microsoft Power BI e Visual Studio Team Services usare protocolli di trasporto sicuri standard del settore, ad esempio Internet Protocol Security (IPsec) e Transport Layer Security (TLS), tra data center Microsoft e tra dispositivi utente e Data center Microsoft.

Oltre al livello di base della sicurezza crittografica fornito da Microsoft, i servizi cloud includono anche opzioni di crittografia che è possibile gestire. Ad esempio, è possibile abilitare la crittografia per il traffico tra le macchine virtuali di Azure e gli utenti. Con le reti virtuali di Azure è possibile usare il protocollo IPsec standard del settore per crittografare il traffico tra il gateway VPN aziendale e Azure. È anche possibile crittografare il traffico tra le macchine virtuali nella rete virtuale. Inoltre, le nuove funzionalità di crittografia dei messaggi di Office 365 consentono di inviare messaggi crittografati a chiunque.

Seguendo lo standard di sicurezza operativa dell'infrastruttura a chiave pubblica, che è un componente dei criteri di sicurezza Microsoft, Microsoft usa le funzionalità di crittografia incluse nel sistema operativo Windows per i certificati e i meccanismi di autenticazione. Questi meccanismi includono l'uso di moduli di crittografia che soddisfano lo standard FIPS (Federal Information Processing Standards ) 140-2 del governo degli Stati Uniti. È possibile cercare i numeri di certificato NIST pertinenti per Microsoft usando il cmVP del programma di convalida del modulo di crittografia.

[NOTA] Per accedere ai criteri di sicurezza Microsoft come risorsa, è necessario accedere usando l'account aziendale o dell'istituto di istruzione. Se non si ha ancora una sottoscrizione, è possibile iscriversi per una versione di valutazione gratuita.

FIPS 140-2 è uno standard progettato specificamente per convalidare i moduli di prodotto che implementano la crittografia anziché i prodotti che li usano. I moduli di crittografia implementati all'interno di un servizio possono essere certificati in base ai requisiti per il livello di hash, la gestione delle chiavi e così via. I moduli di crittografia e le crittografie usati per proteggere la riservatezza, l'integrità o la disponibilità dei dati nei servizi cloud Microsoft soddisfano lo standard FIPS 140-2.

Microsoft certifica i moduli di crittografia sottostanti usati nei servizi cloud con ogni nuova versione del sistema operativo Windows:

  • Azure e Azure U.S. Government
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense

La crittografia dei dati dei clienti inattivi viene fornita da più tecnologie sul lato servizio, tra cui BitLocker, DKM, Crittografia del servizio di archiviazione di Azure e crittografia del servizio in Exchange Online, Skype for Business, OneDrive for Business e SharePoint Online. Office 365 crittografia del servizio include un'opzione per usare chiavi di crittografia gestite dal cliente archiviate in Azure Key Vault. Questa opzione di chiave gestita dal cliente, denominata Chiave cliente, è disponibile per Exchange Online, SharePoint Online, Skype for Business e OneDrive for Business.

Per i dati dei clienti in transito, tutti i server Office 365 negoziano sessioni sicure usando TLS per impostazione predefinita con i computer client per proteggere i dati dei clienti. Ad esempio, Office 365 negozierà sessioni sicure per Skype for Business, Outlook e Outlook sul web, client per dispositivi mobili e Web browser.

Per impostazione predefinita, tutti i server rivolti ai clienti negoziano TLS 1.2.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.