Criptografia de dados no OneDrive para Negócios e SharePoint Online

Posted on by admin
  • 7/2/2018
  • 3 minutos para ler
    • K
    • D
    • D
    • j
    • l
    • +3

Entenda os elementos básicos de criptografia para segurança de dados no OneDrive for Business e SharePoint Online.

Segurança e criptografia de dados no Office 365

Microsoft 365 é um ambiente altamente seguro que oferece proteção extensiva em múltiplas camadas: segurança física do centro de dados, segurança de rede, segurança de acesso, segurança de aplicações e segurança de dados. Este artigo foca especificamente o lado da criptografia em trânsito e em repouso da segurança de dados para OneDrive for Business e SharePoint Online.

Veja como a criptografia de dados funciona no vídeo a seguir.

Criptografia de dados em trânsito

Na OneDrive for Business e SharePoint Online, há dois cenários em que os dados entram e saem dos centros de dados.

  • Comunicação com o servidor Comunicação com o OneDrive for Business através da Internet usa conexões SSL/TLS. Todas as conexões SSL são estabelecidas usando chaves de 2048 bits.

  • Movimento de dados entre datacenters O principal motivo para mover dados entre datacenters é para que a geo-replicação permita a recuperação de desastres. Por exemplo, os logs de transações do SQL Server e deltas de armazenamento de blob viajam ao longo deste tubo. Enquanto esses dados já são transmitidos usando uma rede privada, eles são ainda protegidos com a melhor criptografia da classe.

Encryption of data at rest

Encryption at rest inclui dois componentes: BitLocker criptografia de nível de disco e criptografia por arquivo do conteúdo do cliente.

BitLocker é implantado para OneDrive for Business e SharePoint Online em todo o serviço. A criptografia por arquivo também está no OneDrive for Business e SharePoint Online no Microsoft 365 multi-tenant e em novos ambientes dedicados que são construídos com tecnologia multi-tenant.

Embora o BitLocker criptografe todos os dados em um disco, a criptografia por arquivo vai ainda mais longe, incluindo uma chave de criptografia exclusiva para cada arquivo. Além disso, cada atualização de cada arquivo é criptografada usando sua própria chave de criptografia. Antes de serem armazenadas, as chaves do conteúdo criptografado são armazenadas em um local fisicamente separado do conteúdo. Cada etapa dessa criptografia usa o Padrão Avançado de Criptografia (AES) com chaves de 256 bits e é compatível com o Federal Information Processing Standard (FIPS) 140-2. O conteúdo criptografado é distribuído por vários contêineres em todo o datacenter, e cada contêiner tem credenciais exclusivas. Essas credenciais são armazenadas em um local físico separado do conteúdo ou das chaves de conteúdo.

Para obter informações adicionais sobre conformidade FIPS 140-2, consulte Conformidade FIPS 140-2.

A criptografia em nível de arquivo em repouso aproveita o armazenamento em blob para proporcionar um crescimento virtualmente ilimitado do armazenamento e permitir uma proteção sem precedentes. Todo o conteúdo do cliente no OneDrive for Business e no SharePoint Online será migrado para o armazenamento blob. Veja como esses dados são protegidos:

  1. Todo o conteúdo é criptografado, potencialmente com várias chaves, e distribuído pelo datacenter. Cada arquivo a ser armazenado é dividido em um ou mais pedaços, dependendo do seu tamanho. Então, cada pedaço é criptografado usando sua própria chave única. As atualizações são tratadas de forma similar: o conjunto de alterações, ou deltas, enviadas por um usuário é quebrado em pedaços, e cada um é criptografado com sua própria chave.

  2. Todos esses pedaços – arquivos, pedaços de arquivos e deltas de atualização – são armazenados como blobs em nossa loja de blobs. Eles também são distribuídos aleatoriamente em múltiplos blob containers.

  3. O “mapa” usado para remontar o arquivo de seus componentes é armazenado na Base de Dados de Conteúdo.

  4. Cada container de blob tem suas próprias credenciais únicas por tipo de acesso (ler, escrever, enumerar e excluir). Cada conjunto de credenciais é mantido na Key Store segura e é regularmente atualizado.

Em outras palavras, existem três tipos diferentes de lojas envolvidas na criptografia por arquivo em repouso, cada uma com uma função distinta:

  • Conteúdo é armazenado como blobs criptografados na loja de blobs. A chave para cada pedaço de conteúdo é criptografada e armazenada separadamente na base de dados de conteúdo. O conteúdo em si não contém nenhuma pista de como ele pode ser decifrado.

  • O banco de dados de conteúdo é um banco de dados SQL Server. Ele contém o mapa necessário para localizar e remontar todos os blobs de conteúdo armazenados no armazenamento de blobs, bem como as chaves necessárias para descriptografar esses blobs.

Cada um desses três componentes de armazenamento – o armazenamento de blobs, o Banco de Dados de Conteúdo e o Key Store- está fisicamente separado. A informação contida em qualquer um dos componentes é inutilizável por si só. Isto proporciona um nível de segurança sem precedentes. Sem acesso a todos os três é impossível recuperar as chaves dos pedaços, decifrar as chaves para torná-las utilizáveis, associar as chaves aos pedaços correspondentes, decifrar qualquer pedaço, ou reconstruir um documento a partir dos pedaços constituintes.

Deixe uma resposta

O seu endereço de email não será publicado.