了解客戶金鑰的可用性金鑰

  • 文章

可用性金鑰是當您建立資料加密原則時自動產生和布建的根密鑰。 Microsoft 365 會儲存並保護可用性密鑰。 可用性金鑰的功能類似您為客戶金鑰提供的兩個根金鑰。 可用性金鑰會將金鑰包裝在金鑰階層中較低的一層。 不同於您在 Azure 金鑰保存庫 中提供和管理的金鑰,您無法直接存取可用性密鑰。 Microsoft 365 自動化服務會以程序設計方式管理可用性密鑰。 這些服務會起始永遠不會涉及直接存取可用性密鑰的自動化作業。

可用性金鑰的主要目的是提供復原功能,以防止您管理的根密鑰意外遺失。 遺失可能是因為管理錯誤或惡意動作所造成。 如果您無法控制根密鑰,請連絡 Microsoft 支援服務,以取得使用可用性密鑰進行復原程序的協助。 使用可用性金鑰,以您佈建的新根金鑰移轉至新的資料加密原則。

儲存體和可用性密鑰的控制刻意不同於 Azure 金鑰保存庫 金鑰,原因有三:

  • 如果失去對兩個 Azure 金鑰保存庫 金鑰的控制,可用性密鑰會提供「急用」的復原功能。
  • 區隔邏輯控制項和安全儲存位置可提供深度防禦,並防止遺失所有密鑰和您的數據,避免遭受單一攻擊或失敗點。
  • 如果 Microsoft 365 服務因為暫時性錯誤而無法連線到 Azure 金鑰保存庫 中裝載的密鑰,可用性密鑰會提供高可用性功能。 此規則僅適用於 Exchange Online 服務加密。 除非您明確指示 Microsoft 起始復原程式,否則 Microsoft SharePoint、Microsoft OneDrive 和 Teams 檔案永遠不會使用可用性密鑰。

共用使用各種金鑰管理保護數據的責任,最終可降低所有密鑰 (的風險,因此您的數據) 會永久遺失或終結。 當您離開服務時,Microsoft 會為您提供停用或解構可用性密鑰的唯一授權。 根據設計,Microsoft 中沒有人可以存取可用性密鑰:它只能由 Microsoft 365 服務程式代碼存取。

如需如何保護密鑰的詳細資訊,請造訪 Microsoft 信任中心

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

Windows 365 Microsoft Purview 客戶金鑰的支持處於公開預覽狀態,而且可能會變更。

可用性金鑰使用

可用性金鑰可針對外部惡意因素或惡意測試人員竊取金鑰保存庫控制權,或意外管理錯誤導致根密鑰遺失的情況,提供復原功能。 此復原功能適用於與客戶密鑰相容的所有 Microsoft 365 服務。 個別服務會以不同的方式使用可用性密鑰。 Microsoft 365 只會以後續章節所述的方式使用可用性密鑰。

Exchange Online

除了復原功能之外,Exchange Online 使用可用性密鑰來確保暫時性期間的數據可用性,或與服務存取根密鑰相關的間歇性操作問題。 當服務因為暫時性錯誤而無法連線到 Azure 金鑰保存庫 中的任何一個客戶密鑰時,服務會自動使用可用性密鑰。 服務永遠不會直接移至可用性密鑰。

Exchange Online 中的自動化系統可能會在暫時性錯誤期間使用可用性密鑰。 使用可用性密鑰支援自動化後端服務,例如防病毒軟體、電子探索、Microsoft Purview 資料外洩防護、信箱移動和數據索引編製。

SharePoint、OneDrive 和 Teams 檔案使用

針對 SharePoint、OneDrive 和 Teams 檔案,可用性密鑰永遠不會在復原功能之外使用。 您必須明確指示 Microsoft 在復原案例期間使用可用性密鑰。 自動化服務作業完全依賴 Azure 金鑰保存庫中的客戶金鑰。 如需金鑰階層如何針對這些服務運作的深入資訊,請參閱 SharePoint、OneDrive 和 Teams 檔案如何使用可用性密鑰

可用性金鑰安全性

Microsoft 藉由具現化可用性密鑰並採取廣泛的措施來保護數據保護,與您分擔數據保護的責任。 Microsoft 不會向客戶公開可用性密鑰的直接控制權。 例如,您只能 (輪替) 您在 Azure 金鑰保存庫 中擁有的密鑰。 如需詳細資訊,請 參閱變換或輪替客戶密鑰或可用性密鑰

可用性金鑰秘密存放區

Microsoft 會保護存取控制內部秘密存放區中的可用性密鑰,例如面向客戶的 Azure 金鑰保存庫。 我們會實作訪問控制,以防止 Microsoft 系統管理員直接存取內含的秘密。 秘密存放區作業,包括金鑰輪替和刪除,會透過永遠不會涉及直接存取可用性密鑰的自動化命令進行。 秘密存放區管理作業僅限於特定工程師,而且需要透過內部工具Lockbox提升許可權。 許可權提升需要管理員核准和理由,才能獲得授權。 Lockbox 可確保存取是在時間到期或工程師註銷時與自動存取撤銷所系結的時間。

Exchange Online 可用性密鑰會儲存在 Exchange Online Active Directory 秘密存放區中。 可用性金鑰會安全地儲存在 Active Directory 網域 控制器內的租使用者特定容器內。 此安全儲存位置與 SharePoint、OneDrive 和 Teams 檔案秘密存放區分開並隔離。

SharePoint、OneDrive 和 Teams 檔案 可用性密鑰會儲存在服務小組所管理的內部秘密存放區中。 這個安全的秘密記憶體服務具有具有應用程式端點的前端伺服器,以及 SQL Database 做為後端。 可用性金鑰會儲存在 SQL Database 中。 秘密存放區加密金鑰會包裝 (加密) 可用性密鑰。 秘密存放區金鑰會使用 AES-256 和 HMAC 的組合來加密待用可用性密鑰。 秘密存放區加密金鑰會儲存在相同 SQL Database 的邏輯隔離元件中,並以 Microsoft 證書頒發機構單位 (CA) 所管理的憑證中所包含的 RSA-2048 密鑰進一步加密。 這些憑證會儲存在對資料庫執行作業的秘密存放區前端伺服器中。

深層防禦

Microsoft 採用深層防禦策略,以防止惡意執行者影響儲存在 Microsoft Cloud 中之客戶數據的機密性、完整性或可用性。 會實作特定預防和偵測控件,以保護秘密存放區和可用性密鑰,作為概略安全性策略的一部分。

Microsoft 365 的建置是為了防止誤用可用性密鑰。 應用層是唯一可用來加密和解密數據的金鑰,包括可用性密鑰的方法。 只有 Microsoft 365 服務程式代碼能夠解譯和周遊加密和解密活動的金鑰階層。 客戶金鑰、可用性金鑰、其他階層式金鑰和客戶資料的儲存位置之間存在邏輯隔離。 此隔離可降低一或多個位置遭到入侵時的數據暴露風險。 階層中的每個層級都有內建的 24x7 入侵偵測功能,可保護儲存的數據和秘密。

系統會實作訪問控制,以防止未經授權的內部系統存取,包括可用性密鑰秘密存放區。 Microsoft 工程師無法直接存取可用性密鑰秘密存放區。 如需訪問控制的詳細資訊,請檢閱 Microsoft 365 中的系統管理訪問控制

技術控制可防止 Microsoft 人員登入高度特殊許可權的服務帳戶,攻擊者可能會使用這些帳戶來模擬 Microsoft 服務。 例如,這些控件會防止互動式登入。

安全性記錄和監視控制是另一個實作的深層防禦防護措施,可降低 Microsoft 服務和數據的風險。 Microsoft 服務小組會部署作用中的監視解決方案,以產生警示和稽核記錄。 所有服務小組都會將其記錄上傳至集中存放庫,其中會匯總和處理記錄。 內部工具會自動檢查記錄,以確認服務以最佳、復原且安全的狀態運作。 異常活動會標示為進一步檢閱。

任何指出可能違反 Microsoft 安全策略的記錄事件,都會立即引起 Microsoft 安全性小組的注意。 Microsoft 365 安全性已設定警示,以偵測嘗試存取可用性密鑰秘密存放區。 如果 Microsoft 人員嘗試以互動方式登入服務帳戶,則也會產生警示,但訪問控制會禁止和保護這些帳戶。 Microsoft 365 安全性也會偵測到 Microsoft 365 服務與一般基準作業的偏差,併發出警示。 嘗試誤用 Microsoft 365 服務的男性因素會觸發警示,因而導致從 Microsoft 雲端環境收回。

使用可用性金鑰從金鑰遺失中復原

如果您無法控制客戶金鑰,可用性金鑰可讓您復原和重新加密數據。

Exchange Online的復原程式

如果您無法控制客戶金鑰,可用性密鑰可讓您復原數據,並將受影響的 Microsoft 365 資源重新上線。 可用性金鑰會在您復原時繼續保護您的資料。 概括而言,若要從密鑰遺失完全復原,請建立新的 DEP,並將受影響的資源移至新原則。

若要使用新的客戶金鑰加密您的數據,請在 Azure 金鑰保存庫 中建立新的金鑰,使用新的客戶密鑰建立新的 DEP,然後將新的 DEP 指派給目前使用先前的 DEP 加密的信箱,而該信箱的金鑰會遺失或遭到入侵。

此重新加密程式最多可能需要 72 小時,且是您變更 DEP 時的標準持續時間。

SharePoint、OneDrive 和 Teams 檔案的復原程式

針對 SharePoint、OneDrive 和 Teams 檔案,可用性密鑰永遠不會在復原功能之外使用。 您必須明確指示 Microsoft 在復原案例期間起始使用可用性密鑰。 若要起始復原程式,請連絡 Microsoft 以啟用可用性密鑰。 啟用之後,可用性金鑰會自動用來解密您的數據,讓您使用與新客戶密鑰相關聯的新建立 DEP 來加密數據。

這項作業與您組織中的網站數目成正比。 一旦您呼叫 Microsoft 以使用可用性密鑰,您應該會在大約四小時內完全上線。

Exchange Online 如何使用可用性密鑰

當您使用客戶金鑰建立 DEP 時,Microsoft 365 會產生與該 DEP 相關聯的數據加密原則金鑰 (DEP 金鑰) 。 服務會加密 DEP 金鑰三次:一次使用每個客戶金鑰,一次使用可用性密鑰。 只會儲存已加密版本的 DEP 金鑰,而且只能使用客戶金鑰或可用性金鑰來解密 DEP 金鑰。 DEP 金鑰接著會用來加密信箱金鑰,以加密個別信箱。

Microsoft 365 會遵循此程式,在客戶使用服務時解密並提供數據:

  1. 使用客戶金鑰解密 DEP 金鑰。

  2. 使用解密的 DEP 金鑰來解密信箱金鑰。

  3. 使用解密的信箱密鑰來解密信箱本身,讓您能夠存取信箱內的數據。

SharePoint、OneDrive 和 Teams 檔案如何使用可用性密鑰

客戶金鑰和可用性金鑰的 SharePoint 和 OneDrive 架構和實作與 Exchange Online 不同。

當組織移至客戶管理的密鑰時,Microsoft 365 會建立組織特定的中繼密鑰 (TIK) 。 Microsoft 365 會加密 TIK 兩次,一次使用每個客戶密鑰,並儲存兩個加密版本的 TIK。 只會儲存加密版本的 TIK,而 TIK 只能使用客戶金鑰來解密。 TIK 接著會用來加密月臺密鑰,然後用來加密 Blob 金鑰, (也稱為檔案區塊密鑰) 。 根據檔案大小,服務可能會將檔案分割成多個檔案區塊,每個區塊都有唯一的索引鍵。 Blob (檔案區塊) 本身會使用 Blob 金鑰加密,並儲存在 Microsoft Azure Blob 記憶體服務中。

Microsoft 365 會遵循此程式,在客戶使用服務時解密並提供客戶檔案:

  1. 使用客戶金鑰解密 TIK。

  2. 使用解密的 TIK 來解密月臺金鑰。

  3. 使用解密的月臺金鑰來解密 Blob 金鑰。

  4. 使用解密的 Blob 金鑰來解密 Blob。

Microsoft 365 會向 Azure 金鑰保存庫 發出兩個解密要求,以稍微位移來解密 TIK。 第一個要完成的工作會產生結果,並取消另一個要求。

如果您無法存取金鑰,Microsoft 365 也會使用可用性密鑰來加密 TIK,並儲存此資訊以及使用每個客戶金鑰加密的 TIK。 只有當您在遺失密鑰存取權時,惡意或意外地呼叫 Microsoft 來登記復原路徑時,才會使用以可用性密鑰加密的 TIK。

基於可用性和規模考慮,解密的 TIK 會在限時記憶體快取中快取。 在 TIK 快取設定為到期前兩小時,Microsoft 365 會嘗試將每個 TIK 解密。 解密 TIK 會延長快取的存留期。 如果 TIK 解密失敗相當長的時間,Microsoft 365 會在快取到期之前產生警示以通知工程。 只有當您呼叫 時,Microsoft 365 才會起始復原作業,這牽涉到使用儲存在 Microsoft 秘密存放區中的可用性密鑰來解密 TIK,並使用解密的 TIK 和一組客戶提供的新 Azure 金鑰保存庫 密鑰再次將租用戶上線。

從今天起,客戶金鑰會涉及儲存在 Azure Blob 存放區中 SharePoint 檔案數據的加密和解密鏈結,但不會涉及儲存在 SQL Database 中的 SharePoint 清單專案或元數據。 Microsoft 365 不會針對所述案例以外的 Exchange Online、SharePoint、OneDrive 和 Teams 檔案使用可用性密鑰,這是客戶起始的案例。 客戶數據的人工存取受到客戶加密箱的保護。

可用性金鑰觸發程式

Microsoft 365 只會在特定情況下觸發可用性密鑰。 這些情況會因服務而異。

Exchange Online的觸發程式

  1. Microsoft 365 會讀取指派信箱的 DEP,以判斷 Azure 金鑰保存庫 中兩個客戶密鑰的位置。

  2. Microsoft 365 會從 DEP 隨機選擇兩個客戶密鑰的其中一個,並將要求傳送至 Azure 金鑰保存庫,以使用客戶密鑰解除包裝 DEP 金鑰。

  3. 如果使用客戶金鑰解除包裝 DEP 金鑰的要求失敗,Microsoft 365 會將第二個要求傳送至 Azure 金鑰保存庫,這次指示它使用替代 (第二個) 客戶密鑰。

  4. 如果使用客戶密鑰解除包裝 DEP 金鑰的第二個要求失敗,Microsoft 365 會檢查這兩個要求的結果。

    • 如果檢查判斷要求傳回系統錯誤失敗:

      • Microsoft 365 會觸發可用性密鑰來解密 DEP 金鑰。

      • Microsoft 365 接著會使用 DEP 金鑰來解密信箱密鑰,並完成使用者要求。

      • 在此情況下,Azure 金鑰保存庫 因為暫時性錯誤而無法回應或無法連線。

    • 如果檢查判斷要求傳回拒絕存取失敗:

      • 此傳回表示已採取刻意、不慎或惡意的動作,使客戶密鑰無法使用 (例如,在數據清除程式期間離開服務) 。

      • 在此情況下,可用性密鑰僅適用於系統動作,而非使用者動作,使用者要求會失敗,而且使用者會收到錯誤訊息。

重要事項

Microsoft 365 服務程式代碼一律具有有效的登入令牌,可推斷客戶數據以提供加值的雲端服務。 因此,在刪除可用性密鑰之前,它可以作為由或內部起始之動作的後援,Exchange Online 例如搜尋索引建立或移動信箱。 這同時適用於 Azure 金鑰保存庫 的暫時性 ERRORS 和 ACCESS DENIED 要求。

SharePoint、OneDrive 和 Teams 檔案的觸發程式

針對 SharePoint、OneDrive 和 Teams 檔案,可用性密鑰永遠不會在復原功能之外使用,而且客戶必須明確指示 Microsoft 在復原案例期間起始使用可用性密鑰。

稽核記錄和可用性金鑰

Microsoft 365 中的自動化系統會在數據流經系統時處理所有數據,以提供雲端服務,例如防病毒軟體、電子探索、數據外泄防護和數據索引編製。 Microsoft 365 不會針對此活動產生客戶可見的記錄。 此外,Microsoft 人員不會在這些一般系統作業中存取您的數據。

Exchange Online 可用性金鑰記錄

當 Exchange Online 存取可用性密鑰以提供服務時,Microsoft 365 會發佈可從安全性與合規性入口網站存取的客戶可見記錄。 每次服務使用可用性金鑰時,都會產生可用性金鑰作業的稽核記錄。 稱為「客戶金鑰服務加密」且活動類型為「後援至可用性密鑰」的新記錄類型,可讓系統管理員篩選 整合稽核記錄 搜尋結果,以檢視可用性密鑰記錄。

記錄檔記錄包括日期、時間、活動、組織標識元和數據加密原則標識碼等屬性。 記錄是整合稽核記錄的一部分,可從 [Microsoft Purview 合規性入口網站 稽核記錄] 索引卷標存取 搜尋。

可用性金鑰事件的稽核記錄搜尋

Exchange Online 可用性密鑰記錄會使用 Microsoft 365 管理活動通用架構並新增自定義參數:原則標識碼、範圍金鑰版本標識碼和要求標識碼。

可用性金鑰自定義參數

SharePoint、OneDrive 和 Teams 檔案可用性密鑰記錄

這些服務尚無法使用可用性密鑰記錄。 針對 SharePoint、OneDrive 和 Teams 檔案,Microsoft 只會在您指示時啟用可用性密鑰以供復原之用。 因此,您已經知道這些服務使用可用性密鑰的每個事件。

客戶金鑰階層中的可用性金鑰

Microsoft 365 會使用可用性金鑰,將密鑰層級包裝在針對客戶密鑰服務加密所建立的金鑰階層中。 服務之間有不同的主要階層。 每個適用服務階層中的可用性密鑰與其他金鑰之間的金鑰演演算法也不同。 不同服務所使用的可用性金鑰演演算法如下所示:

  • Exchange Online 可用性金鑰會使用 AES-256。

  • SharePoint、OneDrive 和 Teams 檔案可用性密鑰會使用 RSA-2048。

用來加密金鑰的加密加密 Exchange Online

客戶金鑰中 Exchange Online 的加密加密

用來加密 SharePoint 金鑰的加密加密

客戶金鑰中 SharePoint 的加密加密