- 7/2/2018
- 3 minuter att läsa
-
- K
- D
- D
- j
- l
-
+3
Förstå de grundläggande delarna av kryptering för datasäkerhet i OneDrive for Business och SharePoint Online.
Säkerhet och datakryptering i Office 365
Microsoft 365 är en mycket säker miljö som erbjuder ett omfattande skydd i flera lager: fysisk datacentersäkerhet, nätverkssäkerhet, åtkomstsäkerhet, applikationssäkerhet och datasäkerhet. Den här artikeln fokuserar särskilt på krypteringssidan av datasäkerheten under överföring och i vila för OneDrive for Business och SharePoint Online.
Se hur datakryptering fungerar i följande video.
Kryptering av data i transit
I OneDrive for Business och SharePoint Online finns det två scenarier där data kommer in i och lämnar datacentren.
-
Klientkommunikation med servern Vid kommunikation till OneDrive for Business över Internet används SSL/TLS-förbindelser. Alla SSL-anslutningar upprättas med 2048-bitars nycklar.
-
Dataförflyttning mellan datacenter Den främsta anledningen till att flytta data mellan datacenter är för georeplikering för att möjliggöra katastrofåterställning. Till exempel flyttas SQL Server-transaktionsloggar och deltas från bloblagring längs den här ledningen. Även om dessa data redan överförs genom att använda ett privat nätverk, skyddas de ytterligare med förstklassig kryptering.
Kryptering av data i vila
Kryptering i vila omfattar två komponenter: BitLocker-kryptering på disknivå och kryptering per fil av kundinnehåll.
BitLocker används för OneDrive for Business och SharePoint Online i hela tjänsten. Kryptering per fil finns också i OneDrive for Business och SharePoint Online i Microsoft 365 multi-tenant och nya dedikerade miljöer som är byggda på multi-tenant-teknik.
Men medan BitLocker krypterar all data på en disk går kryptering per fil ännu längre genom att inkludera en unik krypteringsnyckel för varje fil. Dessutom krypteras varje uppdatering av varje fil med en egen krypteringsnyckel. Innan de lagras lagras nycklarna till det krypterade innehållet på en fysiskt separat plats från innehållet. I varje steg av denna kryptering används Advanced Encryption Standard (AES) med 256-bitars nycklar och uppfyller kraven i FIPS 140-2 (Federal Information Processing Standard). Det krypterade innehållet distribueras över ett antal behållare i datacentret, och varje behållare har unika autentiseringsuppgifter. Dessa autentiseringsuppgifter lagras på en separat fysisk plats från antingen innehållet eller innehållsnycklarna.
För ytterligare information om FIPS 140-2-kompatibilitet, se FIPS 140-2 Compliance.
Filnivåkryptering i vila drar nytta av blob-lagring för att ge praktiskt taget obegränsad lagringstillväxt och möjliggöra ett oöverträffat skydd. Allt kundinnehåll i OneDrive for Business och SharePoint Online kommer att migreras till bloblagring. Så här säkras dessa data:
-
Alt innehåll krypteras, eventuellt med flera nycklar, och distribueras över datacentret. Varje fil som ska lagras delas upp i en eller flera bitar, beroende på dess storlek. Därefter krypteras varje bit med en egen unik nyckel. Uppdateringar hanteras på samma sätt: uppsättningen ändringar, eller deltas, som skickas in av en användare delas upp i bitar och var och en krypteras med sin egen nyckel.
-
Alla dessa bitar – filer, bitar av filer och uppdateringsdeltas – lagras som blobs i vårt blob-lager. De fördelas också slumpmässigt över flera blob-containrar.
-
Den ”karta” som används för att återmontera filen från dess komponenter lagras i innehållsdatabasen.
-
Varje blob-container har sina egna unika autentiseringsuppgifter per åtkomsttyp (läsa, skriva, räkna upp och ta bort). Varje uppsättning autentiseringsuppgifter finns i det säkra nyckelförrådet och uppdateras regelbundet.
Med andra ord finns det tre olika typer av förråd som är involverade i kryptering per fil i vila, var och en med en distinkt funktion:
-
Innehållet lagras som krypterade blobs i blob-lagret. Nyckeln till varje innehållsbit krypteras och lagras separat i innehållsdatabasen. Själva innehållet innehåller ingen ledtråd om hur det kan dekrypteras.
-
Innehållsdatabasen är en SQL Server-databas. Den innehåller den karta som krävs för att lokalisera och återmontera alla innehållsblobs som finns i blob-lagret samt de nycklar som behövs för att dekryptera dessa blobs.
Varje av dessa tre lagringskomponenter – blob-lagret, innehållsdatabasen och nyckellagret – är fysiskt åtskilda. Den information som finns i någon av komponenterna är oanvändbar i sig själv. Detta ger en oöverträffad säkerhetsnivå. Utan tillgång till alla tre är det omöjligt att hämta nycklarna till delarna, dekryptera nycklarna för att göra dem användbara, associera nycklarna med motsvarande delar, dekryptera någon del eller rekonstruera ett dokument från dess ingående delar.