- 7/2/2018
- 3 minuten om te lezen
-
- K
- D
- D
- j
- l
-
+3
Begrijpen van de basiselementen van encryptie voor gegevensbeveiliging in OneDrive for Business en SharePoint Online.
Veiligheid en gegevensversleuteling in Office 365
Microsoft 365 is een zeer veilige omgeving die uitgebreide bescherming biedt in meerdere lagen: fysieke datacenterbeveiliging, netwerkbeveiliging, toegangsbeveiliging, applicatiebeveiliging en gegevensbeveiliging. Dit artikel richt zich specifiek op de in-transit en at-rest encryptie kant van gegevensbeveiliging voor OneDrive for Business en SharePoint Online.
Bekijk hoe gegevensversleuteling werkt in de volgende video.
Versleuteling van gegevens in transit
In OneDrive for Business en SharePoint Online zijn er twee scenario’s waarin gegevens de datacenters binnenkomen en verlaten.
-
Clientcommunicatie met de server Communicatie met OneDrive for Business over het internet maakt gebruik van SSL/TLS-verbindingen. Alle SSL-verbindingen worden tot stand gebracht met behulp van 2048-bits sleutels.
-
Gegevens verplaatsen tussen datacenters De belangrijkste reden om gegevens te verplaatsen tussen datacenters is voor geo-replicatie om herstel na calamiteiten mogelijk te maken. SQL Server-transactielogboeken en blob storage delta’s reizen bijvoorbeeld via deze pijp. Hoewel deze gegevens al worden verzonden via een privénetwerk, worden ze verder beschermd met de beste versleuteling in zijn klasse.
Encryptie van gegevens in ruste
Encryptie in ruste omvat twee componenten: BitLocker-versleuteling op schijfniveau en per-bestandsversleuteling van klantinhoud.
BitLocker wordt ingezet voor OneDrive for Business en SharePoint Online in de hele service. Per-bestandsversleuteling is ook in OneDrive for Business en SharePoint Online in Microsoft 365 multi-tenant en nieuwe speciale omgevingen die zijn gebouwd op multi-tenanttechnologie.
Terwijl BitLocker alle gegevens op een schijf versleutelt, gaat per-bestandsversleuteling nog verder door een unieke versleutelingssleutel voor elk bestand op te nemen. Bovendien wordt elke update van elk bestand versleuteld met een eigen versleutelingssleutel. Voordat ze worden opgeslagen, worden de sleutels van de versleutelde inhoud op een fysiek andere locatie opgeslagen dan de inhoud zelf. Elke stap van deze versleuteling maakt gebruik van Advanced Encryption Standard (AES) met 256-bits sleutels en voldoet aan de Federal Information Processing Standard (FIPS) 140-2. De versleutelde inhoud wordt verspreid over een aantal containers in het datacenter, en elke container heeft unieke referenties. Deze referenties worden opgeslagen op een afzonderlijke fysieke locatie van de inhoud of de inhoudssleutels.
Voor aanvullende informatie over de naleving van FIPS 140-2, zie FIPS 140-2 Compliance.
Bestandsversleuteling in ruste maakt gebruik van blob-opslag om te voorzien in vrijwel onbeperkte opslaggroei en om ongekende bescherming mogelijk te maken. Alle klantencontent in OneDrive for Business en SharePoint Online zal worden gemigreerd naar blob-opslag. Hieronder ziet u hoe die gegevens worden beveiligd:
-
Alle inhoud wordt gecodeerd, mogelijk met meerdere sleutels, en verspreid over het datacenter. Elk op te slaan bestand wordt, afhankelijk van de grootte, opgedeeld in een of meer brokken. Vervolgens wordt elke chunk versleuteld met zijn eigen unieke sleutel. Updates worden op dezelfde manier behandeld: de reeks wijzigingen, of delta’s, die door een gebruiker zijn ingediend, wordt opgedeeld in chunks en elke chunk wordt gecodeerd met een eigen sleutel.
-
Al deze chunks – bestanden, stukken van bestanden en update-delta’s – worden als blobs opgeslagen in onze blob store. Ze worden ook willekeurig verdeeld over meerdere blobcontainers.
-
De “map” die wordt gebruikt om het bestand opnieuw samen te stellen uit zijn componenten, wordt opgeslagen in de inhoudsdatabase.
-
Elke blobcontainer heeft zijn eigen unieke referenties per toegangstype (lezen, schrijven, opsommen en verwijderen). Elke set referenties wordt bewaard in de beveiligde sleutelopslag en wordt regelmatig ververst.
Met andere woorden, er zijn drie verschillende soorten opslagplaatsen betrokken bij de per-bestandsversleuteling in ruste, elk met een eigen functie:
-
Inhoud wordt opgeslagen als versleutelde blobs in de blobopslagplaats. De sleutel van elk brok inhoud wordt gecodeerd en apart opgeslagen in de inhoudsdatabase. De inhoud zelf bevat geen aanwijzingen over hoe deze kan worden ontsleuteld.
-
De inhoudsdatabase is een SQL Server-database. Deze bevat de map die nodig is om alle blobs met inhoud in de blob store te lokaliseren en opnieuw samen te stellen, evenals de sleutels die nodig zijn om deze blobs te decoderen.
Elke van deze drie opslagcomponenten – de blob store, de Content Database en de Key Store – is fysiek gescheiden. De informatie in een van de componenten is op zichzelf onbruikbaar. Dit biedt een ongekend niveau van beveiliging. Zonder toegang tot alle drie is het onmogelijk om de sleutels van de chunks te achterhalen, de sleutels te ontcijferen om ze bruikbaar te maken, de sleutels te associëren met hun corresponderende chunks, een chunk te ontcijferen, of een document te reconstrueren uit zijn samenstellende chunks.