Adattitkosítás a OneDrive for Business és a SharePoint Online szolgáltatásban

Posted on by admin
  • 7/2/2018
  • 3 perc olvasás
    • K
    • D
    • D
    • j
    • l
    • +3

A OneDrive for Business és a SharePoint Online adatbiztonságát szolgáló titkosítás alapvető elemeinek megértése.

Biztonság és adattitkosítás az Office 365-ben

A Microsoft 365 egy rendkívül biztonságos környezet, amely átfogó védelmet nyújt több rétegben: fizikai adatközpont-biztonság, hálózati biztonság, hozzáférés-biztonság, alkalmazásbiztonság és adatbiztonság. Ez a cikk kifejezetten a OneDrive for Business és a SharePoint Online adatbiztonságának szállítás közbeni és tárolási titkosítási oldalára összpontosít.

Nézze meg, hogyan működik az adattitkosítás az alábbi videóban.

Az adatok titkosítása útközben

A OneDrive for Business és a SharePoint Online esetében két forgatókönyv létezik, amikor az adatok be- és kilépnek az adatközpontokból.

  • A kliens kommunikációja a kiszolgálóval A OneDrive for Business felé az interneten keresztüli kommunikáció SSL/TLS kapcsolatokat használ. Minden SSL-kapcsolat 2048 bites kulcsok használatával jön létre.

  • Adatok mozgatása az adatközpontok között Az adatok adatközpontok közötti mozgatásának elsődleges oka a földrajzi replikáció, amely lehetővé teszi a katasztrófa utáni helyreállítást. Például az SQL Server tranzakciós naplók és a blob tárolási delták ezen a csövön közlekednek. Bár ezeket az adatokat már magánhálózat használatával továbbítják, a legjobb minőségű titkosítással további védelemben részesülnek.

A nyugalmi adatok titkosítása

A nyugalmi titkosítás két összetevőből áll: BitLocker lemezszintű titkosítás és az ügyféltartalom fájlonkénti titkosítása.

A BitLocker a OneDrive for Business és a SharePoint Online számára a teljes szolgáltatásban telepítve van. A fájlonkénti titkosítás a OneDrive for Businessben és a SharePoint Online-ban is megtalálható a Microsoft 365 többszemélyes és a többszemélyes technológiára épülő új dedikált környezetekben.

Míg a BitLocker a lemezen lévő összes adatot titkosítja, a fájlonkénti titkosítás még tovább megy, mivel minden egyes fájlhoz egyedi titkosítási kulcsot tartalmaz. Továbbá, minden fájl minden frissítése saját titkosítási kulccsal van titkosítva. A titkosított tartalom kulcsai a tárolás előtt a tartalomtól fizikailag elkülönített helyen kerülnek tárolásra. A titkosítás minden egyes lépése 256 bites kulcsú Advanced Encryption Standard (AES) titkosítási szabványt használ, és megfelel a Federal Information Processing Standard (FIPS) 140-2 szabványnak. A titkosított tartalom az adatközpontban több konténerben van elosztva, és minden konténer egyedi hitelesítő adatokkal rendelkezik. Ezeket a hitelesítő adatokat a tartalomtól vagy a tartalomkulcsoktól elkülönített fizikai helyen tárolják.

A FIPS 140-2 megfelelőséggel kapcsolatos további információkért lásd: FIPS 140-2 megfelelőség.

A fájlok nyugalmi szintű titkosítása kihasználja a blob-tárolás előnyeit, hogy gyakorlatilag korlátlan tárolásnövekedést biztosítson, és példátlan védelmet tegyen lehetővé. A OneDrive for Business és a SharePoint Online összes ügyféltartalma átkerül a blob-tárolásra. Az adatok védelme a következőképpen történik:

  1. Minden tartalom titkosítva van, esetleg több kulccsal, és az adatközpontban elosztva. Minden egyes tárolni kívánt fájlt egy vagy több darabra bontanak, a méretétől függően. Ezután minden egyes darabot a saját egyedi kulcsával titkosítanak. A frissítéseket hasonlóan kezeljük: a felhasználó által benyújtott módosítások vagy delták halmazát darabokra bontjuk, és mindegyiket saját kulccsal titkosítjuk.

  2. Az összes ilyen darabot – fájlok, fájldarabok és frissítési delták – blobként tároljuk a blob-tárolónkban. Ezek is véletlenszerűen vannak elosztva több blob-konténer között.

  3. A “térképet”, amellyel a fájlt az összetevőiből újra összerakjuk, a tartalomadatbázisban tároljuk.

  4. Minden blob-konténer hozzáférési típusonként (olvasás, írás, felsorolás és törlés) saját egyedi hitelesítő adatokkal rendelkezik. A hitelesítő adatok minden egyes készletét a biztonságos kulcstárolóban tárolják, és rendszeresen frissítik.

Más szóval, három különböző típusú tároló vesz részt a fájlonkénti nyugalmi titkosításban, mindegyiknek külön funkciója van:

  • A tartalom titkosított blobok formájában tárolódik a blob tárolóban. Az egyes tartalomdarabok kulcsa titkosítva van, és külön-külön tárolódik a tartalomadatbázisban. Maga a tartalom nem tartalmaz semmilyen nyomot arra vonatkozóan, hogy hogyan lehet visszafejteni.

  • A tartalomadatbázis egy SQL Server adatbázis. Ez tartalmazza a blob-tárolóban tárolt összes tartalmi tömb megtalálásához és újra összerakásához szükséges térképet, valamint a tömbök visszafejtéséhez szükséges kulcsokat.

Ez a három tárolási komponens – a blob-tároló, a tartalmi adatbázis és a kulcstároló – mindegyike fizikailag elkülönül egymástól. A komponensek bármelyikében tárolt információ önmagában használhatatlan. Ez példátlan szintű biztonságot nyújt. Mindháromhoz való hozzáférés nélkül lehetetlen lekérdezni a darabok kulcsait, visszafejteni a kulcsokat, hogy használhatóvá váljanak, hozzárendelni a kulcsokat a megfelelő darabokhoz, visszafejteni bármely darabot, vagy rekonstruálni egy dokumentumot az alkotó darabokból.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.