- 7/2/2018
- 3 Minuten zu lesen
-
- K
- D
- D
- j
- l
-
+3
Verstehen Sie die grundlegenden Elemente der Verschlüsselung zur Datensicherheit in OneDrive for Business und SharePoint Online.
Sicherheit und Datenverschlüsselung in Office 365
Microsoft 365 ist eine hochsichere Umgebung, die umfassenden Schutz auf mehreren Ebenen bietet: physische Sicherheit des Rechenzentrums, Netzwerksicherheit, Zugriffssicherheit, Anwendungssicherheit und Datensicherheit. Dieser Artikel konzentriert sich speziell auf die Verschlüsselung bei der Übertragung und im Ruhezustand der Daten für OneDrive for Business und SharePoint Online.
Schauen Sie sich im folgenden Video an, wie die Datenverschlüsselung funktioniert.
Verschlüsselung von Daten im Transit
In OneDrive for Business und SharePoint Online gibt es zwei Szenarien, in denen Daten die Rechenzentren betreten und verlassen.
-
Client-Kommunikation mit dem Server Die Kommunikation mit OneDrive for Business über das Internet verwendet SSL/TLS-Verbindungen. Alle SSL-Verbindungen werden mit 2048-Bit-Schlüsseln hergestellt.
-
Datenverschiebung zwischen Rechenzentren Der Hauptgrund für die Verschiebung von Daten zwischen Rechenzentren ist die Georeplikation, um eine Notfallwiederherstellung zu ermöglichen. So werden beispielsweise SQL Server-Transaktionsprotokolle und Blob-Storage-Deltas über diese Pipe übertragen. Während diese Daten bereits über ein privates Netzwerk übertragen werden, werden sie zusätzlich durch erstklassige Verschlüsselung geschützt.
Verschlüsselung von Daten im Ruhezustand
Die Verschlüsselung im Ruhezustand umfasst zwei Komponenten: BitLocker-Verschlüsselung auf Festplattenebene und Verschlüsselung der Kundeninhalte pro Datei.
BitLocker wird für OneDrive for Business und SharePoint Online im gesamten Dienst eingesetzt. Die Verschlüsselung pro Datei ist auch in OneDrive for Business und SharePoint Online in Microsoft 365 Multi-Tenant- und neuen dedizierten Umgebungen enthalten, die auf der Multi-Tenant-Technologie aufbauen.
Während BitLocker alle Daten auf einem Datenträger verschlüsselt, geht die Verschlüsselung pro Datei sogar noch weiter, indem sie einen eindeutigen Verschlüsselungsschlüssel für jede Datei enthält. Außerdem wird jede Aktualisierung jeder Datei mit einem eigenen Verschlüsselungsschlüssel verschlüsselt. Vor der Speicherung werden die Schlüssel für die verschlüsselten Inhalte an einem physisch von den Inhalten getrennten Ort gespeichert. Jeder Schritt dieser Verschlüsselung verwendet den Advanced Encryption Standard (AES) mit 256-Bit-Schlüsseln und entspricht dem Federal Information Processing Standard (FIPS) 140-2. Die verschlüsselten Inhalte werden auf eine Reihe von Containern im gesamten Rechenzentrum verteilt, und jeder Container verfügt über eindeutige Anmeldeinformationen. Diese Berechtigungsnachweise werden physisch getrennt von den Inhalten oder den Inhaltsschlüsseln gespeichert.
Weitere Informationen zur FIPS 140-2-Konformität finden Sie unter FIPS 140-2-Konformität.
Die Verschlüsselung auf Dateiebene im Ruhezustand nutzt die Vorteile des Blob-Speichers, um ein praktisch unbegrenztes Speicherwachstum zu ermöglichen und einen beispiellosen Schutz zu gewährleisten. Alle Kundeninhalte in OneDrive for Business und SharePoint Online werden auf Blob-Storage migriert. So werden diese Daten gesichert:
-
Alle Inhalte werden verschlüsselt, möglicherweise mit mehreren Schlüsseln, und über das Rechenzentrum verteilt. Jede zu speichernde Datei wird je nach ihrer Größe in einen oder mehrere Chunks aufgeteilt. Anschließend wird jeder Chunk mit einem eigenen Schlüssel verschlüsselt. Aktualisierungen werden ähnlich gehandhabt: Die von einem Benutzer übermittelten Änderungen oder Deltas werden in Chunks unterteilt und jeweils mit einem eigenen Schlüssel verschlüsselt.
-
Alle diese Chunks – Dateien, Teile von Dateien und Aktualisierungsdeltas – werden als Blobs in unserem Blob-Speicher gespeichert. Sie sind außerdem zufällig auf mehrere Blob-Container verteilt.
-
Die „Map“, mit der die Datei aus ihren Komponenten wieder zusammengesetzt wird, ist in der Inhaltsdatenbank gespeichert.
-
Jeder Blob-Container hat seine eigenen eindeutigen Berechtigungsnachweise für jeden Zugriffstyp (Lesen, Schreiben, Aufzählen und Löschen). Jeder Satz von Berechtigungsnachweisen wird im sicheren Schlüsselspeicher aufbewahrt und regelmäßig aktualisiert.
Mit anderen Worten, es gibt drei verschiedene Arten von Speichern, die an der Verschlüsselung pro Datei im Ruhezustand beteiligt sind, jeder mit einer bestimmten Funktion:
-
Inhalt wird als verschlüsselte Blobs im Blob-Speicher gespeichert. Der Schlüssel zu jedem Inhaltsblock wird verschlüsselt und separat in der Inhaltsdatenbank gespeichert. Der Inhalt selbst enthält keinen Hinweis darauf, wie er entschlüsselt werden kann.
-
Die Inhaltsdatenbank ist eine SQL-Server-Datenbank. Sie enthält die Zuordnung, die erforderlich ist, um alle im Blob-Speicher enthaltenen Inhaltsblöcke zu finden und wieder zusammenzusetzen, sowie die Schlüssel, die zur Entschlüsselung dieser Blöcke benötigt werden.
Jede dieser drei Speicherkomponenten – der Blob-Speicher, die Inhaltsdatenbank und der Schlüsselspeicher – ist physisch getrennt. Die in einer der Komponenten gespeicherten Informationen sind für sich allein unbrauchbar. Dies bietet ein noch nie dagewesenes Maß an Sicherheit. Ohne Zugriff auf alle drei Komponenten ist es unmöglich, die Schlüssel zu den Chunks abzurufen, die Schlüssel zu entschlüsseln, um sie nutzbar zu machen, die Schlüssel mit den entsprechenden Chunks zu verknüpfen, jeden Chunk zu entschlüsseln oder ein Dokument aus seinen einzelnen Chunks zu rekonstruieren.