- 7/2/2018
- 3 minutos para leer
-
- K
- D
- D
- j
- l
-
+3
Comprender los elementos básicos del cifrado para la seguridad de los datos en OneDrive for Business y SharePoint Online.
Seguridad y cifrado de datos en Office 365
Microsoft 365 es un entorno altamente seguro que ofrece una amplia protección en múltiples capas: seguridad del centro de datos físico, seguridad de la red, seguridad de acceso, seguridad de las aplicaciones y seguridad de los datos. Este artículo se centra específicamente en la parte del cifrado en tránsito y en reposo de la seguridad de los datos para OneDrive for Business y SharePoint Online.
Mira cómo funciona el cifrado de datos en el siguiente vídeo.
Cifrado de datos en tránsito
En OneDrive para la Empresa y SharePoint Online, hay dos escenarios en los que los datos entran y salen de los centros de datos.
-
La comunicación del cliente con el servidor La comunicación con OneDrive para la Empresa a través de Internet utiliza conexiones SSL/TLS. Todas las conexiones SSL se establecen utilizando claves de 2048 bits.
-
Movimiento de datos entre centros de datos La razón principal para mover datos entre centros de datos es la georreplicación para permitir la recuperación de desastres. Por ejemplo, los registros de transacciones de SQL Server y los deltas de almacenamiento blob viajan por esta tubería. Aunque estos datos ya se transmiten utilizando una red privada, se protegen aún más con el mejor cifrado de su clase.
El cifrado de datos en reposo
El cifrado en reposo incluye dos componentes: El cifrado a nivel de disco BitLocker y el cifrado por archivo del contenido del cliente.
BitLocker se implementa para OneDrive for Business y SharePoint Online en todo el servicio. El cifrado por archivo también está en OneDrive para la Empresa y SharePoint Online en Microsoft 365 multitenant y en los nuevos entornos dedicados que se construyen sobre la tecnología multitenant.
Mientras que BitLocker cifra todos los datos de un disco, el cifrado por archivo va más allá al incluir una clave de cifrado única para cada archivo. Además, cada actualización de cada archivo se cifra con su propia clave de cifrado. Antes de ser almacenadas, las claves del contenido cifrado se guardan en una ubicación físicamente separada del contenido. Cada paso de este cifrado utiliza el Estándar de Cifrado Avanzado (AES) con claves de 256 bits y cumple con el Estándar Federal de Procesamiento de Información (FIPS) 140-2. El contenido encriptado se distribuye en varios contenedores en el centro de datos, y cada contenedor tiene credenciales únicas. Estas credenciales se almacenan en una ubicación física separada del contenido o de las claves de contenido.
Para obtener información adicional sobre el cumplimiento de la norma FIPS 140-2, consulte Cumplimiento de la norma FIPS 140-2.
El cifrado a nivel de archivo en reposo aprovecha el almacenamiento blob para proporcionar un crecimiento de almacenamiento prácticamente ilimitado y permitir una protección sin precedentes. Todo el contenido de los clientes en OneDrive for Business y SharePoint Online se migrará al almacenamiento blob. Así es como se protegen esos datos:
-
Todo el contenido se cifra, potencialmente con múltiples claves, y se distribuye por el centro de datos. Cada archivo que se almacena se divide en uno o más trozos, dependiendo de su tamaño. A continuación, cada trozo se encripta utilizando su propia y única clave. Las actualizaciones se gestionan de forma similar: el conjunto de cambios, o deltas, enviados por un usuario se divide en trozos, y cada uno se cifra con su propia clave.
-
Todos estos trozos -archivos, trozos de archivos y deltas de actualización- se almacenan como blobs en nuestro almacén de blobs. También se distribuyen aleatoriamente en varios contenedores de blobs.
-
El «mapa» utilizado para volver a ensamblar el archivo a partir de sus componentes se almacena en la base de datos de contenido.
-
Cada contenedor de blobs tiene sus propias credenciales únicas por tipo de acceso (lectura, escritura, enumeración y eliminación). Cada conjunto de credenciales se guarda en el almacén de claves seguro y se actualiza periódicamente.
En otras palabras, hay tres tipos diferentes de almacenes implicados en el cifrado por archivo en reposo, cada uno con una función distinta:
-
El contenido se guarda como blobs cifrados en el almacén de blobs. La clave de cada trozo de contenido se encripta y se almacena por separado en la base de datos de contenido. El contenido en sí no tiene ninguna pista sobre cómo puede ser descifrado.
-
La base de datos de contenido es una base de datos de SQL Server. Contiene el mapa necesario para localizar y reensamblar todos los blobs de contenido que se encuentran en el almacén de blobs, así como las claves necesarias para descifrar esos blobs.
Cada uno de estos tres componentes de almacenamiento -el almacén de blobs, la base de datos de contenido y el almacén de claves- está físicamente separado. La información contenida en cualquiera de los componentes es inutilizable por sí sola. Esto proporciona un nivel de seguridad sin precedentes. Sin acceso a los tres es imposible recuperar las claves de los trozos, desencriptar las claves para hacerlas utilizables, asociar las claves con sus trozos correspondientes, desencriptar cualquier trozo o reconstruir un documento a partir de los trozos que lo componen.