Informazioni su come i dati di Microsoft 365 vengono crittografati inattivi
Tutti i contenuti dei clienti inattivi in Microsoft 365 sono protetti da una o più forme di crittografia. BitLocker viene usato nelle unità disco a livello di volume, assicurando che tutti i dati inattivi siano crittografati. La crittografia BitLocker è una caratteristica di protezione dei dati incorporata in Windows che si integra con il sistema operativo e riduce la minaccia di furto di dati o esposizione da computer persi, rubati o ritirati in modo inappropriato. Oltre a usare BitLocker per la crittografia a livello di volume, i servizi di Microsoft 365 integrano un altro livello di crittografia a livello di applicazione per proteggere ulteriormente i dati dei clienti.
Crittografia a livello di volume bitLocker
BitLocker viene distribuito con crittografia a 256 bit Advanced Encryption Standard (AES) su dischi contenenti dati dei clienti. I settori del disco vengono crittografati con una chiave di crittografia del volume completa (FVEK), che la stessa viene crittografata con la chiave master del volume (VMK), che a sua volta è associata al Trusted Platform Module (TPM) nel server. Dato che la VMK protegge direttamente la FVEK, la protezione della VMK tramite il TPM è fondamentale per impedire l'accesso non autorizzato alla FVEK. BitLocker usa algoritmi compatibili con FIPS per garantire che le chiavi di crittografia non vengano archiviate o inviate via cavo in testo non crittografato. L'implementazione di Microsoft 365 della protezione dei dati inattivi dei clienti non si discosta dall'implementazione predefinita di BitLocker.
BitLocker supporta le chiavi che rientrano in due categorie di gestione:
- Chiavi gestite da BitLocker, generalmente di breve durata e associate alla durata di un'istanza del sistema operativo installata su un server o un determinato disco. Queste chiavi vengono eliminate e reimpostate durante la reinstallazione del server o la formattazione del disco.
- Le chiavi di ripristino di BitLocker, gestite all'esterno di BitLocker, vengono usate per la decrittazione del disco. BitLocker usa le chiavi di ripristino nel caso in cui venga reinstallato un sistema operativo e i dischi di dati crittografati siano già esistenti. Le chiavi di ripristino sono anche utilizzate da sonde di monitoraggio della disponibilità gestita in Exchange Online, in cui un risponditore potrebbe dover sbloccare un disco.
La gestione delle chiavi di BitLocker protegge le chiavi di ripristino usate per sbloccare e ripristinare i dischi crittografati in un data center Microsoft. Microsoft 365 memorizza le chiavi master in una condivisione protetta, accessibile solo agli utenti selezionati e approvati. Le credenziali per le chiavi vengono memorizzate in un archivio protetto per i dati di controllo di accesso (quello che viene chiamato "archivio segreto"), che richiede un livello elevato di approvazioni di elevazione e gestione per accedere tramite uno strumento di elevazione dei requisiti di accesso JIT (Just-In-Time).
Crittografia a livello di servizio
Exchange Online, Microsoft Teams, SharePoint Online e OneDrive for Business tutti usano la crittografia a livello di servizio per fornire un ulteriore livello di sicurezza per i dati inattivi dei clienti.
Exchange Online usa BitLocker per crittografare tutti i dati delle cassette postali, inclusi Skype for Business dati generati dall'utente, a livello di cassetta postale. I file dei clienti in SharePoint Online sono protetti da chiavi univoche per ogni file che sono sempre esclusive per un singolo tenant. Durante il caricamento, ogni file (incluso ogni file aggiornato) viene suddiviso in blocchi e crittografato singolarmente con la propria chiave AES a 256 bit univoca. I blocchi vengono quindi archiviati come BLOB in Archiviazione di Azure, distribuiti in modo casuale tra contenitori BLOB diversi. I blocchi, le chiavi e la mappa usati per ricostruire i file al momento del download vengono tutti archiviati in posizioni separate. Archiviazione di Azure non ha accesso ai dati crittografati. Più carichi di lavoro di Microsoft 365, tra cui Microsoft Teams e OneDrive for Business, sfruttano SharePoint Online per archiviare i dati dei clienti.
I clienti hanno due opzioni per la gestione delle chiavi di crittografia a livello di servizio:
- Chiavi gestite da Microsoft: nell'implementazione predefinita per i clienti che non usano la chiave del cliente, Microsoft gestisce tutte le chiavi crittografiche usate per la crittografia del servizio. Questa opzione è attualmente abilitata per impostazione predefinita per Exchange Online, SharePoint Online e OneDrive for Business. Le chiavi gestite da Microsoft forniscono la crittografia del servizio predefinita, a meno che un cliente non esegua l'onboarding di Customer Key.
- Customer Key: questa opzione consente ai clienti di usare le proprie chiavi radice per crittografare i dati dei clienti. Le chiavi dei clienti vengono caricate o generate all'interno di Azure Key Vault, consentendo ai clienti di controllare la capacità di servizi Microsoft di decrittografare ed elaborare i dati dei clienti. Questa opzione è attualmente disponibile per Exchange Online, SharePoint Online e OneDrive for Business.
Indipendentemente dall'opzione di gestione delle chiavi selezionata, le chiavi radice vengono usate per proteggere le gerarchie di chiavi usate dalla crittografia del servizio. Tutte le chiavi usate per la crittografia del servizio vengono archiviate in modo sicuro in repository privati, ad esempio Azure Key Vault, in cui possono essere usate dal codice del servizio automatizzato senza l'accessibilità diretta da parte del personale Microsoft. La crittografia del servizio include una rotazione regolare delle chiavi per mantenere la sicurezza. La rotazione delle chiavi avviene tramite codice del servizio automatizzato nelle pianificazioni definite internamente in base al tipo di chiave. I clienti che usano Customer Key sono responsabili della rotazione delle chiavi radice del cliente in base ai propri requisiti di sicurezza e conformità. Le due unità successive tratteranno entrambe queste opzioni in modo più dettagliato.