Visão geral de gerenciamento de criptografia e chaves

Qual função a criptografia desempenha na proteção do conteúdo do cliente?

A maioria dos serviços de nuvem empresarial da Microsoft é multi-locatário, o que significa que o conteúdo do cliente pode ser armazenado no mesmo hardware físico que outros clientes. Para proteger a confidencialidade do conteúdo do cliente, os serviços online da Microsoft criptografam todos os dados em repouso e em trânsito com alguns dos protocolos de criptografia mais fortes e seguros disponíveis.

A criptografia não é um substituto para controles de acesso forte. A política de controle de acesso da Microsoft do ZSA (Zero Standing Access) protege o conteúdo do cliente contra o acesso não autorizado por funcionários da Microsoft. A criptografia complementa o controle de acesso protegendo a confidencialidade do conteúdo do cliente onde quer que esteja armazenado e impedindo que o conteúdo seja lido enquanto estiver em trânsito entre os sistemas de serviços online da Microsoft ou entre os serviços online da Microsoft e o cliente.

Como os serviços online da Microsoft criptografam dados em repouso?

Todo o conteúdo do cliente nos serviços online da Microsoft é protegido por uma ou mais formas de criptografia. Os servidores Microsoft usam o BitLocker para criptografar as unidades de disco que contêm conteúdo do cliente no nível de volume. A criptografia fornecida pelo BitLocker protege o conteúdo do cliente se houver falhas em outros processos ou controles (por exemplo, controle de acesso ou reciclagem de hardware) que podem levar ao acesso físico não autorizado a discos que contenham conteúdo do cliente.

Além da criptografia de nível de volume, os serviços online da Microsoft usam a Criptografia de Serviço na camada do aplicativo para criptografar o conteúdo do cliente. A Criptografia de Serviço fornece recursos de proteção e gerenciamento de direitos, além de uma forte proteção de criptografia. Ele também permite a separação entre Windows sistemas operacionais e os dados do cliente armazenados ou processados por esses sistemas operacionais.

Como os serviços online da Microsoft criptografam dados em trânsito?

Os serviços online da Microsoft usam protocolos de transporte fortes, como o TLS, para impedir que as partes não autorizadas escutam dados do cliente enquanto eles se movem por uma rede. Exemplos de dados em trânsito incluem mensagens de email que estão em processo de entrega, conversas ocorrendo em uma reunião online ou arquivos sendo replicados entre datacenters.

Para os serviços online da Microsoft, os dados são considerados 'em trânsito' sempre que um dispositivo do usuário está se comunicando com um servidor Microsoft ou um servidor Microsoft está se comunicando com outro servidor.

Como os serviços online da Microsoft gerenciam as chaves usadas para criptografia?

A criptografia forte é tão segura quanto as chaves usadas para criptografar dados. A Microsoft usa seus próprios certificados de segurança para criptografar conexões TLS para dados em trânsito. Para dados em repouso, os volumes protegidos pelo BitLocker são criptografados com uma chave de criptografia de volume total, que é criptografada com uma chave mestra de volume, que, por sua vez, está vinculada ao Módulo de Plataforma Confiável (TPM) no servidor. O BitLocker usa algoritmos compatíveis com FIPS para garantir que as chaves de criptografia nunca sejam armazenadas ou enviadas pelo fio de forma clara.

A Criptografia de Serviço fornece outra camada de criptografia para dados do cliente em repouso, fornecendo aos clientes duas opções para gerenciamento de chaves de criptografia: chaves gerenciadas pela Microsoft ou Chave do Cliente. Ao usar chaves gerenciadas pela Microsoft, os serviços online da Microsoft geram automaticamente e armazenam com segurança as chaves raiz usadas para Criptografia de Serviço.

Os clientes com requisitos para controlar suas próprias chaves de criptografia raiz podem usar a Criptografia de Serviço com a Chave do Cliente. Usando a Chave do Cliente, os clientes podem gerar suas próprias chaves criptográficas usando um HSM (Hardware Service Module) local ou a Azure Key Vault (AKV). As chaves raiz do cliente são armazenadas no AKV, onde podem ser usadas como a raiz de um dos chaveiros que criptografam dados ou arquivos de caixa de correio do cliente. As chaves raiz do cliente só podem ser acessadas indiretamente pelo código de serviço online da Microsoft para criptografia de dados e não podem ser acessadas diretamente pelos funcionários da Microsoft.

Os serviços online da Microsoft são regularmente auditados para conformidade com regulamentações e certificações externas. Consulte a tabela a seguir para validação de controles relacionados à criptografia e gerenciamento de chaves.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Instrução of Applicability
Certificação
A.10.1: controles criptográficos
A.18.1.5: controles criptográficos
2 de dezembro de 2020
ISO 27017

Instrução of Applicability
Certificação
A.10.1: controles criptográficos
A.18.1.5: controles criptográficos
2 de dezembro de 2020
ISO 27018

Instrução of Applicability
Certificação
A.11.6: Criptografia de PII transmitida por redes públicas de transmissão de dados 2 de dezembro de 2020
SOC 1
SOC 2
SOC 3
DS-1: Armazenamento seguro de certificados e chaves criptográficos
DS-2: Os dados do cliente são criptografados em trânsito
DS-3: Comunicação interna de componentes do Azure criptografados em trânsito
DS-4: controles e procedimentos criptográficos
31 de março de 2021

Office 365

Auditorias externas Section Data do relatório mais recente
FedRAMP SC-8: Confidencialidade e integridade de transmissão
SC-13: Uso de criptografia
SC-28: Proteção de informações em repouso
24 de setembro de 2020
ISO 27001/27002/27017

Instrução of Applicability
Certificação
A.10.1: controles criptográficos
A.18.1.5: controles criptográficos
Abril de 20, 2021
ISO 27018

Instrução of Applicability
Certificação
A.11.6: Criptografia de PII transmitida por redes públicas de transmissão de dados Abril de 20, 2021
SOC 2 CA-44: criptografia de dados em trânsito
CA-54: criptografia de dados em repouso
CA-62: criptografia de caixa de correio de chave do cliente
CA-63: Exclusão de dados de chave do cliente
CA-64: Chave do cliente
24 de dezembro de 2020
SOC 3 CUEC-16: Chaves de criptografia do cliente
CUEC-17: Cofre de chaves do cliente
CUEC-18: Rotação da chave do cliente
24 de dezembro de 2020