- 7/2/2018
- 3 minuty na przeczytanie
-
- K
- D
- D
- j
- l
-
+3
.
Zrozumienie podstawowych elementów szyfrowania w celu zapewnienia bezpieczeństwa danych w OneDrive for Business i SharePoint Online.
Bezpieczeństwo i szyfrowanie danych w Office 365
Microsoft 365 to wysoce bezpieczne środowisko, które oferuje rozległą ochronę w wielu warstwach: fizyczne bezpieczeństwo centrum danych, bezpieczeństwo sieci, bezpieczeństwo dostępu, bezpieczeństwo aplikacji i bezpieczeństwo danych. W tym artykule skupiono się szczególnie na stronie szyfrowania podczas transportu i w stanie spoczynku danych dla OneDrive for Business i SharePoint Online.
Zobacz, jak działa szyfrowanie danych na poniższym filmie.
Szyfrowanie danych w tranzycie
W OneDrive for Business i SharePoint Online istnieją dwa scenariusze, w których dane wchodzą i wychodzą z centrów danych.
-
Komunikacja klienta z serwerem Komunikacja z OneDrive for Business przez Internet wykorzystuje połączenia SSL/TLS. Wszystkie połączenia SSL są nawiązywane przy użyciu kluczy 2048-bitowych.
-
Przenoszenie danych między centrami danych Podstawowym powodem przenoszenia danych między centrami danych jest georeplikacja umożliwiająca odzyskiwanie po awarii. Na przykład, dzienniki transakcji SQL Server i delty magazynów blob podróżują wzdłuż tej rury. Chociaż dane te są już przesyłane przy użyciu sieci prywatnej, są dodatkowo chronione za pomocą najlepszego w swojej klasie szyfrowania.
Szyfrowanie danych w stanie spoczynku
Szyfrowanie w stanie spoczynku obejmuje dwa składniki: Szyfrowanie BitLocker na poziomie dysku i szyfrowanie per-plikowe zawartości klienta.
BitLocker jest wdrożony dla OneDrive for Business i SharePoint Online w całej usłudze. Szyfrowanie per plik jest również dostępne w usługach OneDrive for Business i SharePoint Online w usłudze Microsoft 365 multi-tenant i nowych środowiskach dedykowanych zbudowanych w oparciu o technologię multi-tenant.
Podczas gdy BitLocker szyfruje wszystkie dane na dysku, szyfrowanie per plik idzie jeszcze dalej, ponieważ zawiera unikatowy klucz szyfrowania dla każdego pliku. Co więcej, każda aktualizacja każdego pliku jest szyfrowana przy użyciu własnego klucza szyfrowania. Przed zapisaniem klucze do zaszyfrowanej zawartości są przechowywane w fizycznie oddzielonej lokalizacji od zawartości. Na każdym etapie szyfrowania wykorzystywany jest standard Advanced Encryption Standard (AES) z kluczami 256-bitowymi, zgodny ze standardem Federal Information Processing Standard (FIPS) 140-2. Zaszyfrowana zawartość jest rozprowadzana w wielu kontenerach w całym centrum danych, a każdy kontener ma unikatowe dane uwierzytelniające. Te dane uwierzytelniające są przechowywane w oddzielnej lokalizacji fizycznej niż zawartość lub klucze zawartości.
Dodatkowe informacje na temat zgodności ze standardem FIPS 140-2 można znaleźć w części Zgodność ze standardem FIPS 140-2.
Szyfrowanie na poziomie plików w stanie spoczynku wykorzystuje pamięć masową typu blob, która umożliwia praktycznie nieograniczony wzrost pamięci masowej i zapewnia bezprecedensową ochronę. Cała zawartość klientów w usługach OneDrive for Business i SharePoint Online zostanie przeniesiona do pamięci masowej typu blob. Oto jak te dane są zabezpieczone:
-
Wszystkie treści są szyfrowane, potencjalnie za pomocą wielu kluczy, i dystrybuowane w centrum danych. Każdy plik, który ma być przechowywany, jest dzielony na jeden lub więcej fragmentów, w zależności od jego rozmiaru. Następnie każdy chunk jest szyfrowany przy użyciu własnego, unikalnego klucza. Aktualizacje są traktowane podobnie: zestaw zmian, lub deltas, przesłanych przez użytkownika jest dzielony na kawałki, a każdy z nich jest szyfrowany własnym kluczem.
-
Wszystkie te kawałki – pliki, fragmenty plików i delty aktualizacji – są przechowywane jako bloby w naszym magazynie blobów. Są one również losowo rozmieszczone w wielu kontenerach blob.
-
Mapa” używana do ponownego złożenia pliku z jego komponentów jest przechowywana w bazie danych zawartości.
-
Każdy kontener blob ma swoje unikalne poświadczenia dla każdego typu dostępu (odczyt, zapis, wyliczanie i usuwanie). Każdy zestaw danych uwierzytelniających jest przechowywany w bezpiecznym magazynie kluczy i jest regularnie odświeżany.
Innymi słowy, istnieją trzy różne typy magazynów zaangażowanych w szyfrowanie plików w spoczynku, z których każdy ma inną funkcję:
-
Treść jest przechowywana jako zaszyfrowane fragmenty w magazynie bloków. Klucz do każdego fragmentu treści jest zaszyfrowany i przechowywany oddzielnie w bazie danych treści. Sama treść nie zawiera żadnych wskazówek, jak można ją odszyfrować.
-
Baza danych treści jest bazą danych SQL Server. Przechowuje ona mapę wymaganą do zlokalizowania i ponownego złożenia wszystkich plamek zawartości przechowywanych w magazynie plamek, jak również klucze potrzebne do odszyfrowania tych plamek.
Każdy z tych trzech komponentów pamięci masowej – magazyn plamek, baza danych zawartości i magazyn kluczy – jest fizycznie oddzielny. Informacje przechowywane w dowolnym z tych komponentów są bezużyteczne same w sobie. Zapewnia to bezprecedensowy poziom bezpieczeństwa. Bez dostępu do wszystkich trzech składników nie można pobrać kluczy do kawałków, odszyfrować kluczy, aby uczynić je użytecznymi, powiązać kluczy z odpowiadającymi im kawałkami, odszyfrować dowolnego kawałka ani zrekonstruować dokumentu z jego części składowych.