Criptarea datelor în OneDrive for Business și SharePoint Online

  • 7/2/2018
  • 3 minute de citit
    • K
    • D
    • D
    • j
    • l
    • +3

Înțelegeți elementele de bază ale criptării pentru securitatea datelor în OneDrive for Business și SharePoint Online.

Securitatea și criptarea datelor în Office 365

Microsoft 365 este un mediu extrem de sigur care oferă o protecție extinsă în mai multe straturi: securitatea fizică a centrului de date, securitatea rețelei, securitatea accesului, securitatea aplicațiilor și securitatea datelor. Acest articol se concentrează în special pe partea de criptare în tranzit și în repaus a securității datelor pentru OneDrive for Business și SharePoint Online.

Vezi cum funcționează criptarea datelor în următorul videoclip.

Criptarea datelor în tranzit

În OneDrive for Business și SharePoint Online, există două scenarii în care datele intră și ies din centrele de date.

  • Comunicarea clientului cu serverul Comunicarea cu OneDrive for Business prin Internet utilizează conexiuni SSL/TLS. Toate conexiunile SSL sunt stabilite utilizând chei pe 2048 de biți.

  • Mișcarea datelor între centrele de date Motivul principal pentru a muta datele între centrele de date este pentru georeplicare pentru a permite recuperarea în caz de dezastru. De exemplu, jurnalele de tranzacții SQL Server și deltele de stocare blob se deplasează de-a lungul acestei conducte. Deși aceste date sunt deja transmise prin utilizarea unei rețele private, ele sunt protejate în continuare cu cea mai bună criptare din clasa lor.

Criptarea datelor în repaus

Criptarea în repaus include două componente: Criptarea la nivel de disc BitLocker și criptarea per fișier a conținutului clientului.

BitLocker este implementat pentru OneDrive for Business și SharePoint Online în cadrul serviciului. Criptarea per fișier este, de asemenea, în OneDrive for Business și SharePoint Online în Microsoft 365 multi-tenant și în noile medii dedicate care sunt construite pe tehnologia multi-tenant.

În timp ce BitLocker criptează toate datele de pe un disc, criptarea per fișier merge chiar mai departe prin includerea unei chei de criptare unice pentru fiecare fișier. Mai mult, fiecare actualizare a fiecărui fișier este criptată folosind propria cheie de criptare. Înainte de a fi stocate, cheile pentru conținutul criptat sunt stocate într-o locație separată fizic de conținut. Fiecare etapă a acestei criptări utilizează Advanced Encryption Standard (AES) cu chei pe 256 de biți și este conformă cu Federal Information Processing Standard (FIPS) 140-2. Conținutul criptat este distribuit într-un număr de containere în centrul de date, iar fiecare container are acreditări unice. Aceste credențiale sunt stocate într-o locație fizică separată fie de conținut, fie de cheile de conținut.

Pentru informații suplimentare despre conformitatea FIPS 140-2, consultați Conformitatea FIPS 140-2.

Criptarea în repaus la nivel de fișier profită de stocarea de tip blob pentru a asigura o creștere practic nelimitată a stocării și pentru a permite o protecție fără precedent. Tot conținutul clienților din OneDrive for Business și SharePoint Online va fi migrat către blob storage. Iată cum sunt securizate aceste date:

  1. Tot conținutul este criptat, potențial cu mai multe chei, și distribuit în centrul de date. Fiecare fișier care urmează să fie stocat este împărțit în unul sau mai multe bucăți, în funcție de dimensiunea sa. Apoi, fiecare chunk este criptat folosind propria cheie unică. Actualizările sunt gestionate în mod similar: setul de modificări, sau deltas, trimise de un utilizator este împărțit în bucăți, iar fiecare este criptat cu propria cheie.

  2. Toate aceste bucăți – fișiere, bucăți de fișiere și deltas de actualizare – sunt stocate sub formă de blocuri în blob store-ul nostru. De asemenea, acestea sunt distribuite aleatoriu în mai multe containere blob.

  3. „Harta” utilizată pentru a reasambla fișierul din componentele sale este stocată în baza de date de conținut.

  4. Care container blob are propriile credențiale unice pentru fiecare tip de acces (citire, scriere, enumerare și ștergere). Fiecare set de acreditări este păstrat în depozitul de chei securizat și este reîmprospătat în mod regulat.

Cu alte cuvinte, există trei tipuri diferite de depozite implicate în criptarea per fișier în repaus, fiecare cu o funcție distinctă:

  • Contenutul este stocat sub formă de blocuri criptate în depozitul de blocuri. Cheia pentru fiecare bucată de conținut este criptată și stocată separat în baza de date de conținut. Conținutul în sine nu deține niciun indiciu cu privire la modul în care poate fi decriptat.

  • Baza de date de conținut este o bază de date SQL Server. Aceasta deține harta necesară pentru a localiza și reasambla toate blocurile de conținut păstrate în blob store, precum și cheile necesare pentru a decripta aceste blocuri.

Câte una dintre aceste trei componente de stocare – blob store, Content Database și Key Store – este separată din punct de vedere fizic. Informațiile deținute în oricare dintre componente sunt inutilizabile de sine stătător. Acest lucru oferă un nivel de securitate fără precedent. Fără acces la toate cele trei, este imposibil să se recupereze cheile pentru chunks, să se decripteze cheile pentru a le face utilizabile, să se asocieze cheile cu chunks corespunzătoare, să se decripteze orice chunk sau să se reconstruiască un document din chunks-urile sale constitutive.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.