Data Encryption in OneDrive for Business and SharePoint Online
Förstå de grundläggande krypteringselementen för datasäkerhet i OneDrive för företag och SharePoint Online.
Säkerhet och datakryptering i Office 365
Microsoft 365 är en mycket säker miljö med omfattande skydd i flera lager: fysisk säkerhet på datacenter, nätverkssäkerhet, åtkomstsäkerhet, programsäkerhet och datasäkerhet. Den här artikeln fokuserar specifikt på krypteringssidan för datasäkerhet under överföring och OneDrive för företag SharePoint Online.
Se hur datakryptering fungerar i följande video.
Kryptering av data som överförs
I OneDrive för företag och SharePoint Online finns det två scenarier där data matas in i och lämnar datacenter.
Klientkommunikation med servern Kommunikation till OneDrive för företag över Internet använder SSL-/TLS-anslutningar. Alla SSL-anslutningar upprättas med 2048-bitarsnycklar.
Dataförflyttning mellan datacenter Den främsta orsaken till att flytta data mellan datacenter är för georeplikering för att möjliggöra katastrofåterställning. Till exempel SQL Server transaktionsloggar och blob-lagringss deltan färdas längs den här ledning. Även om dessa data redan överförs genom ett privat nätverk skyddas de ytterligare med förstklassig kryptering.
Kryptering av data i vila
Kryptering i vila består av två komponenter: BitLocker-kryptering på disknivå och kryptering per fil för kundinnehåll.
BitLocker distribueras för OneDrive för företag och SharePoint Online i tjänsten. Per filkryptering finns också i OneDrive för företag och SharePoint Online Microsoft 365 i flera klientorganisationsmiljöer och nya dedikerade miljöer som bygger på teknik för flera innehavare.
BitLocker krypterar alla data på en disk, men krypteringen per fil går ännu längre genom att en unik krypteringsnyckel för varje fil inkluderas. Varje uppdatering av varje fil krypteras dessutom med en egen krypteringsnyckel. Knapparna till det krypterade innehållet lagras på en fysiskt separat plats från innehållet. Varje steg i den här krypteringen använder AES (Advanced Encryption Standard) med 256-bitarsnycklar och är FIPS (Federal Information Processing Standard) 140-2-kompatibel. Det krypterade innehållet fördelas över ett antal behållare i datacentret och varje behållare har unika autentiseringsuppgifter. Autentiseringsuppgifterna lagras på en separat fysisk plats från innehållet eller innehållsnycklarna.
Mer information om efterlevnad med FIPS 140-2 finns i Efterlevnad för FIPS 140-2.
Kryptering på filnivå i vila utnyttjar blob-lagring för att tillhandahålla virtuellt obegränsad lagringstillväxt och aktivera skydd av miljön. Allt kundinnehåll i OneDrive för företag och SharePoint Online migreras till blob-lagring. Så här skyddas dessa data:
Allt innehåll krypteras, potentiellt med flera nycklar, och distribueras över datacentret. Varje fil som ska lagras delas upp i en eller flera delar, beroende på dess storlek. Därefter krypteras varje segment med en egen unik nyckel. Uppdateringar hanteras på samma sätt: uppsättningen ändringar, eller deltan, som skickas av en användare delas upp i delar och var och en krypteras med en egen nyckel.
Alla delar – filer, delar av filer och uppdateringss delta – lagras som blobbar i vår blob-butik. De är även slumpmässigt fördelade över flera blob-behållare.
Den "karta" som används för att sammanställa filen från dess komponenter lagras i innehållsdatabasen.
Varje blob-behållare har sina egna unika autentiseringsuppgifter per åtkomsttyp (läsa, skriva, räkna upp och ta bort). Varje uppsättning autentiseringsuppgifter hålls i det säkra nyckelarkivet och uppdateras regelbundet.
Det finns med andra ord tre olika typer av butiker som ingår i per filkryptering i vila, var och en med en särskild funktion:
Innehållet lagras som krypterade blobbar i blob-butiken. Nyckeln till varje del av innehållet krypteras och lagras separat i innehållsdatabasen. Själva innehållet innehåller ingen ledtråd om hur det kan dekrypteras.
Innehållsdatabasen är en SQL Server databas. Den innehåller den mappning som krävs för att hitta och sätta ihop allt innehåll som blobbar som finns i blob Store samt de nycklar som krävs för att dekryptera dessa blobbar.
Var och en av de här tre lagringskomponenterna – blob-lagringen, innehållsdatabasen och nyckellagringslagret – är fysiskt separat. Informationen som finns i någon av komponenterna är oanvändbar på egen hand. Det här ger en säkerhetsnivå. Utan åtkomst till alla tre går det inte att hämta nycklarna i segmenten, dekryptera nycklarna så att de kan användas, associera nycklarna med motsvarande delar, dekryptera något segment eller återskapa ett dokument från dess beståndsdelar.