- 7. 2. 2018
- 3 minuty čtení
-
- K
- D
- D
- j
- l
-
+3
Poznat základní prvky šifrování pro zabezpečení dat ve službě OneDrive pro firmy a SharePoint Online.
Zabezpečení a šifrování dat v Office 365
Microsoft 365 je vysoce bezpečné prostředí, které nabízí rozsáhlou ochranu v několika vrstvách: fyzické zabezpečení datového centra, zabezpečení sítě, zabezpečení přístupu, zabezpečení aplikací a zabezpečení dat. Tento článek se konkrétně zaměřuje na stránku zabezpečení dat při přenosu a v klidu pro OneDrive for Business a SharePoint Online.
V následujícím videu se podívejte, jak šifrování dat funguje.
Šifrování dat při přenosu
V aplikacích OneDrive for Business a SharePoint Online existují dva scénáře, ve kterých data vstupují do datových center a vystupují z nich.
-
Komunikace klienta se serverem Komunikace s aplikací OneDrive for Business přes internet využívá spojení SSL/TLS. Všechna spojení SSL jsou navázána pomocí 2048bitových klíčů.
-
Přesun dat mezi datovými centry Hlavním důvodem přesunu dat mezi datovými centry je georeplikace umožňující obnovu po havárii. Po tomto potrubí cestují například protokoly transakcí serveru SQL Server a delty úložišť blob. Tato data jsou sice již přenášena pomocí privátní sítě, ale jsou dále chráněna nejlepším šifrováním ve své třídě.
Šifrování dat v klidu
Šifrování v klidu zahrnuje dvě složky:
Šifrování BitLocker je nasazeno pro OneDrive for Business a SharePoint Online v rámci celé služby. Šifrování na soubor je také ve službě OneDrive pro firmy a SharePoint Online ve víceuživatelském prostředí Microsoft 365 a v nových vyhrazených prostředích, která jsou postavena na technologii víceuživatelského prostředí.
Zatímco nástroj BitLocker šifruje všechna data na disku, šifrování na soubor jde ještě dále tím, že pro každý soubor obsahuje jedinečný šifrovací klíč. Dále je každá aktualizace každého souboru šifrována pomocí vlastního šifrovacího klíče. Klíče k šifrovanému obsahu jsou před uložením uloženy na fyzicky odděleném místě od obsahu. Každý krok tohoto šifrování využívá standard AES (Advanced Encryption Standard) s 256bitovými klíči a je v souladu se standardem FIPS 140-2 (Federal Information Processing Standard). Šifrovaný obsah je rozdělen do několika kontejnerů po celém datovém centru a každý kontejner má jedinečné přihlašovací údaje. Tato pověření jsou uložena na odděleném fyzickém místě od obsahu nebo klíčů k obsahu.
Další informace o shodě se standardem FIPS 140-2 naleznete v části Shoda se standardem FIPS 140-2.
Šifrování na úrovni souborů v klidu využívá výhod úložiště blob, které umožňuje prakticky neomezený růst úložiště a umožňuje bezprecedentní ochranu. Veškerý obsah zákazníků ve službě OneDrive pro firmy a SharePoint Online bude převeden do úložiště blob. Zde je uveden způsob zabezpečení těchto dat:
-
Všechen obsah je šifrován, potenciálně pomocí více klíčů, a distribuován napříč datovým centrem. Každý soubor, který má být uložen, je rozdělen na jednu nebo více částí v závislosti na jeho velikosti. Poté je každý kus zašifrován pomocí vlastního jedinečného klíče. S aktualizacemi se zachází podobně: sada změn neboli delt odeslaných uživatelem je rozdělena na kusy a každý je zašifrován vlastním klíčem.
-
Všechny tyto kusy – soubory, části souborů a delty aktualizací – jsou uloženy jako bloby v našem úložišti blobů. Jsou také náhodně rozmístěny ve více kontejnerech blobů.
-
„Mapa“ používaná k opětovnému sestavení souboru z jeho součástí je uložena v databázi obsahu.
-
Každý kontejner blobů má své vlastní jedinečné pověření pro každý typ přístupu (čtení, zápis, výčet a odstranění). Každá sada pověření je uložena v zabezpečeném úložišti klíčů a je pravidelně obnovována.
Jinými slovy, do šifrování jednotlivých souborů v klidu jsou zapojeny tři různé typy úložišť, z nichž každé má odlišnou funkci:
-
Obsah je uložen jako zašifrované bloby v úložišti blobů. Klíč ke každému kusu obsahu je zašifrován a uložen samostatně v databázi obsahu. Samotný obsah neobsahuje žádné vodítko, jak jej lze dešifrovat.
-
Databáze obsahu je databáze serveru SQL Server. Je v ní uložena mapa potřebná k vyhledání a opětovnému sestavení všech blobů obsahu uložených v úložišti blobů a také klíče potřebné k dešifrování těchto blobů.
Každá z těchto tří součástí úložiště – úložiště blobů, databáze obsahu a úložiště klíčů – je fyzicky oddělená. Informace uložené v kterékoli ze součástí jsou samy o sobě nepoužitelné. To poskytuje bezprecedentní úroveň zabezpečení. Bez přístupu ke všem třem částem není možné získat klíče k částem, dešifrovat klíče, aby byly použitelné, přiřadit klíče k odpovídajícím částem, dešifrovat jakoukoli část nebo rekonstruovat dokument z jeho částí.