- 7/2/2018
- 3 minuti per leggere
-
- K
- D
- D
- j
- l
-
+3
Comprendere gli elementi base della crittografia per la sicurezza dei dati in OneDrive for Business e SharePoint Online.
Sicurezza e crittografia dei dati in Office 365
Microsoft 365 è un ambiente altamente sicuro che offre un’ampia protezione su più livelli: sicurezza fisica del data center, sicurezza della rete, sicurezza degli accessi, sicurezza delle applicazioni e sicurezza dei dati. Questo articolo si concentra in particolare sul lato della crittografia in transito e a riposo della sicurezza dei dati per OneDrive for Business e SharePoint Online.
Guarda come funziona la crittografia dei dati nel seguente video.
Crittografia dei dati in transito
In OneDrive for Business e SharePoint Online, ci sono due scenari in cui i dati entrano ed escono dai centri dati.
-
Comunicazione client con il server La comunicazione verso OneDrive for Business attraverso Internet utilizza connessioni SSL/TLS. Tutte le connessioni SSL sono stabilite utilizzando chiavi a 2048 bit.
-
Movimento dei dati tra i datacenter Il motivo principale per spostare i dati tra i datacenter è la geo-replicazione per consentire il disaster recovery. Per esempio, i log delle transazioni di SQL Server e i delta dello storage blob viaggiano lungo questo tubo. Mentre questi dati sono già trasmessi utilizzando una rete privata, sono ulteriormente protetti con la crittografia migliore della categoria.
Crittografia dei dati a riposo
La crittografia a riposo include due componenti: BitLocker a livello di disco e la crittografia per file del contenuto del cliente.
BitLocker è distribuito per OneDrive for Business e SharePoint Online in tutto il servizio. La crittografia per file è anche in OneDrive for Business e SharePoint Online in Microsoft 365 multi-tenant e nei nuovi ambienti dedicati che sono costruiti sulla tecnologia multi-tenant.
Mentre BitLocker crittografa tutti i dati su un disco, la crittografia per file va ancora oltre includendo una chiave di crittografia unica per ogni file. Inoltre, ogni aggiornamento di ogni file è crittografato utilizzando la propria chiave di crittografia. Prima di essere archiviate, le chiavi del contenuto crittografato sono memorizzate in un luogo fisicamente separato dal contenuto. Ogni passo di questa crittografia utilizza Advanced Encryption Standard (AES) con chiavi a 256 bit ed è conforme al Federal Information Processing Standard (FIPS) 140-2. Il contenuto crittografato è distribuito in un certo numero di contenitori in tutto il datacenter, e ogni contenitore ha credenziali uniche. Queste credenziali sono memorizzate in un luogo fisico separato dal contenuto o dalle chiavi del contenuto.
Per ulteriori informazioni sulla conformità FIPS 140-2, vedere Conformità FIPS 140-2.
La crittografia a livello di file a riposo sfrutta lo storage blob per fornire una crescita virtualmente illimitata dello storage e consentire una protezione senza precedenti. Tutti i contenuti dei clienti in OneDrive for Business e SharePoint Online saranno migrati al blob storage. Ecco come i dati sono protetti:
-
Tutti i contenuti sono crittografati, potenzialmente con chiavi multiple, e distribuiti nel datacenter. Ogni file da memorizzare è suddiviso in uno o più pezzi, a seconda della sua dimensione. Poi, ogni chunk è criptato usando la sua chiave unica. Gli aggiornamenti sono gestiti in modo simile: l’insieme delle modifiche, o delta, inviate da un utente è suddiviso in chunk, e ciascuno è crittografato con la propria chiave.
-
Tutti questi chunk – file, pezzi di file e delta di aggiornamento – sono memorizzati come blob nel nostro negozio blob. Sono anche distribuiti casualmente su più contenitori blob.
-
La “mappa” usata per riassemblare il file dai suoi componenti è memorizzata nel database dei contenuti.
-
Ogni contenitore blob ha le sue credenziali uniche per tipo di accesso (lettura, scrittura, enumerazione e cancellazione). Ogni serie di credenziali è tenuta nel Key Store sicuro e viene regolarmente aggiornata.
In altre parole, ci sono tre diversi tipi di archivi coinvolti nella crittografia per file a riposo, ognuno con una funzione distinta:
-
Il contenuto è memorizzato come blob criptati nel blob store. La chiave di ogni pezzo di contenuto è criptata e memorizzata separatamente nel database dei contenuti. Il contenuto stesso non contiene alcun indizio su come può essere decriptato.
-
Il database dei contenuti è un database SQL Server. Contiene la mappa necessaria per localizzare e riassemblare tutti i blob di contenuto tenuti nel blob store e le chiavi necessarie per decifrare quei blob.
Ognuno di questi tre componenti di archiviazione – il blob store, il Content Database e il Key Store – è fisicamente separato. Le informazioni contenute in uno qualsiasi dei componenti sono inutilizzabili da sole. Questo fornisce un livello di sicurezza senza precedenti. Senza l’accesso a tutti e tre è impossibile recuperare le chiavi dei chunks, decifrare le chiavi per renderle utilizzabili, associare le chiavi ai loro chunks corrispondenti, decifrare qualsiasi chunk, o ricostruire un documento dai suoi chunks costituenti.