Cryptage des données dans OneDrive for Business et SharePoint Online

Posted on by admin
  • 7/2/2018
  • 3 minutes à lire
    • K
    • D

      • .

    • D
    • j
    • l
    • +3

Comprendre les éléments de base du chiffrement pour la sécurité des données dans OneDrive for Business et SharePoint Online.

Sécurité et chiffrement des données dans Office 365

Microsoft 365 est un environnement hautement sécurisé qui offre une protection étendue dans plusieurs couches : sécurité physique du centre de données, sécurité du réseau, sécurité d’accès, sécurité des applications et sécurité des données. Cet article se concentre spécifiquement sur le côté cryptage en transit et au repos de la sécurité des données pour OneDrive for Business et SharePoint Online.

Voyez comment le cryptage des données fonctionne dans la vidéo suivante.

Cryptage des données en transit

Dans OneDrive for Business et SharePoint Online, il existe deux scénarios dans lesquels les données entrent et sortent des centres de données.

  • Communication du client avec le serveur La communication vers OneDrive for Business à travers l’Internet utilise des connexions SSL/TLS. Toutes les connexions SSL sont établies à l’aide de clés de 2048 bits.

  • Déplacement des données entre les centres de données La principale raison de déplacer les données entre les centres de données est la géo-réplication pour permettre la reprise après sinistre. Par exemple, les journaux de transactions SQL Server et les deltas de stockage des blobs voyagent le long de ce tuyau. Bien que ces données soient déjà transmises en utilisant un réseau privé, elles sont davantage protégées par le meilleur cryptage de sa catégorie.

Cryptage des données au repos

Le cryptage au repos comprend deux composants : Le chiffrement au niveau du disque BitLocker et le chiffrement par fichier du contenu du client.

BitLocker est déployé pour OneDrive for Business et SharePoint Online dans l’ensemble du service. Le chiffrement par fichier est également présent dans OneDrive for Business et SharePoint Online dans Microsoft 365 multi-tenant et les nouveaux environnements dédiés qui sont construits sur la technologie multi-tenant.

Alors que BitLocker chiffre toutes les données sur un disque, le chiffrement par fichier va encore plus loin en incluant une clé de chiffrement unique pour chaque fichier. De plus, chaque mise à jour de chaque fichier est chiffrée à l’aide de sa propre clé de chiffrement. Avant d’être stockées, les clés du contenu crypté sont stockées dans un endroit physiquement distinct du contenu. Chaque étape de ce cryptage utilise la norme AES (Advanced Encryption Standard) avec des clés de 256 bits et est conforme à la norme FIPS (Federal Information Processing Standard) 140-2. Le contenu crypté est réparti dans un certain nombre de conteneurs dans le centre de données, et chaque conteneur possède des informations d’identification uniques. Ces informations d’identification sont stockées dans un emplacement physique distinct de celui du contenu ou des clés de contenu.

Pour plus d’informations sur la conformité à la norme FIPS 140-2, consultez la section Conformité à la norme FIPS 140-2.

Le chiffrement de niveau fichier au repos tire parti du stockage blob pour permettre une croissance de stockage pratiquement illimitée et une protection sans précédent. Tout le contenu client dans OneDrive for Business et SharePoint Online sera migré vers le stockage blob. Voici comment ces données sont sécurisées :

  1. Tout le contenu est crypté, potentiellement avec plusieurs clés, et distribué dans le centre de données. Chaque fichier à stocker est décomposé en un ou plusieurs chunks, selon sa taille. Ensuite, chaque morceau est crypté à l’aide de sa propre clé unique. Les mises à jour sont traitées de manière similaire : l’ensemble des modifications, ou deltas, soumises par un utilisateur est décomposé en chunks, et chacun est chiffré avec sa propre clé.

  2. Tous ces chunks – fichiers, morceaux de fichiers et deltas de mise à jour – sont stockés sous forme de blobs dans notre blob store. Ils sont également répartis de manière aléatoire entre plusieurs conteneurs de blob.

  3. La « carte » utilisée pour réassembler le fichier à partir de ses composants est stockée dans la base de données de contenu.

  4. Chaque conteneur de blob possède ses propres informations d’identification uniques par type d’accès (lecture, écriture, énumération et suppression). Chaque ensemble d’informations d’identification est conservé dans le magasin de clés sécurisé et est régulièrement rafraîchi.

En d’autres termes, il existe trois types de magasins différents impliqués dans le chiffrement par fichier au repos, chacun ayant une fonction distincte :

  • Le contenu est stocké sous forme de blocs chiffrés dans le magasin de blocs. La clé de chaque bloc de contenu est chiffrée et stockée séparément dans la base de données de contenu. Le contenu lui-même ne contient aucun indice sur la façon dont il peut être décrypté.

  • La base de données de contenu est une base de données SQL Server. Elle détient la carte nécessaire pour localiser et réassembler tous les blobs de contenu détenus dans le blob store ainsi que les clés nécessaires pour décrypter ces blobs.

Chacun de ces trois composants de stockage – le blob store, la base de données de contenu et le magasin de clés – est physiquement séparé. Les informations détenues dans l’un des composants sont inutilisables en soi. Cela offre un niveau de sécurité sans précédent. Sans accès aux trois, il est impossible de récupérer les clés des chunks, de décrypter les clés pour les rendre utilisables, d’associer les clés aux chunks correspondants, de décrypter n’importe quel chunk ou de reconstruire un document à partir des chunks qui le composent.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.