加密和密钥管理概述

2021/7/27

本文内容

加密在保护客户内容方面扮演什么角色？

大多数 Microsoft 商业云服务都是多租户的，这意味着客户内容可能存储在与其他客户相同的物理硬件上。 为了保护客户内容的机密性，Microsoft 在线服务使用一些最强大和最安全的加密协议对静态和传输中的所有数据进行加密。

加密不能替代强访问控制。 Microsoft 的访问控制策略 Zero Standing Access (ZSA) 保护客户内容免受 Microsoft 员工未经授权的访问。 加密通过保护存储位置的客户内容机密性和防止在 Microsoft 在线服务系统之间传输或 Microsoft 联机服务与客户之间传输时读取内容来补充访问控制。

Microsoft 联机服务如何加密其余数据？

Microsoft 联机服务中所有客户内容都受一种或多种加密形式的保护。 Microsoft 服务器使用 BitLocker 在卷级别加密包含客户内容的磁盘驱动器。 如果其他过程或控件 ((例如，访问控制或硬件) 的回收)存在故障，可能会导致对包含客户内容的磁盘进行未经授权的物理访问，BitLocker 提供的加密将保护客户内容。

除了卷级加密之外，Microsoft 在线服务还使用应用程序层的服务加密来加密客户内容。 服务加密提供权限保护以及强加密保护的管理功能。 它还允许在操作系统Windows由这些操作系统存储或处理的客户数据之间分离。

Microsoft 联机服务如何加密传输数据？

Microsoft 在线服务使用强传输协议(如 TLS)来防止未经授权的方在客户数据通过网络移动时窃听客户数据。 传输数据的示例包括正在传递的邮件、联机会议中的对话或在数据中心之间复制的文件。

对于 Microsoft 联机服务，每当用户设备与 Microsoft 服务器通信或 Microsoft 服务器与另一台服务器通信时，数据都被视为"正在传输"。

Microsoft 联机服务如何管理用于加密的密钥？

强加密仅与用于加密数据的密钥一样安全。 Microsoft 使用自己的安全证书加密传输数据的 TLS 连接。 对于静态数据，受 BitLocker 保护的卷使用全卷加密密钥进行加密，该密钥使用卷主密钥进行加密，而卷主密钥又绑定到服务器中的受信任的平台模块 (TPM) 。 BitLocker 使用符合 FIPS 的算法来确保从不会以清晰方式通过线路存储或发送加密密钥。

服务加密为客户静态数据提供了另一层加密，为客户提供了两种加密密钥管理选项：Microsoft 管理的密钥或客户密钥。 使用 Microsoft 管理的密钥时，Microsoft 联机服务自动生成并安全存储用于服务加密的根密钥。

如果客户要求控制自己的根加密密钥，可以将服务加密与客户密钥一同使用。 使用客户密钥，客户可以使用本地硬件服务模块 (HSM) 或 AKV (生成自己的) 。 客户根密钥存储在 AKV 中，可在 AKV 中用作加密客户邮箱数据或文件的密钥链之一的根。 客户根密钥只能由 Microsoft 联机服务代码间接访问，用于数据加密，并且不能由 Microsoft 员工直接访问。

认证的相关&法规

Microsoft 的在线服务会定期进行审核，以遵守外部法规和认证。 有关与加密和密钥管理相关的控件的验证，请参阅下表。

Azure 和 Dynamics 365

外部审核

Section

最新报告日期

A.10.1：加密控件

A.18.1.5：加密控件

2020 年 12 月 2 日

A.10.1：加密控件

A.18.1.5：加密控件

2020 年 12 月 2 日

A.11.6：通过公共数据传输网络传输的 PII 加密

2020 年 12 月 2 日

DS-1：安全存储加密证书和密钥

DS-2：客户数据在传输过程中加密

DS-3：在传输中加密的 Azure 组件的内部通信

DS-4：加密控件和过程

2021 年 3 月 31 日

Office 365

外部审核

Section

最新报告日期

SC-8：传输机密性和完整性

SC-13：加密的使用

SC-28：保护其余信息

2020 年 9 月 24 日

A.10.1：加密控件

A.18.1.5：加密控件

2021 年 4 月 20 日

A.11.6：通过公共数据传输网络传输的 PII 加密

2021 年 4 月 20 日

CA-44：传输数据加密

CA-54：静态数据加密

CA-62：客户密钥邮箱加密

CA-63：客户密钥数据删除

CA-64：客户密钥

2020 年 12 月 24 日

CUEC-16：客户加密密钥

CUEC-17：客户密钥保管库

CUEC-18：客户密钥轮换

2020 年 12 月 24 日