Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La clave de disponibilidad es una clave raíz que se genera y aprovisiona automáticamente al crear una directiva de cifrado de datos (DEP). Microsoft 365 almacena y protege esta clave.
Las funciones de clave de disponibilidad, como las dos claves raíz que se proporcionan para clave de cliente. Ajusta las claves un nivel inferior en la jerarquía de claves. A diferencia de las claves que administra en Azure Key Vault, no puede acceder directamente a la clave de disponibilidad. Los servicios automatizados de Microsoft 365 lo administran y lo usan mediante programación.
Su propósito principal es admitir la recuperación de la pérdida inesperada de las claves raíz que administra (por ejemplo, a través de mala administración o acciones malintencionadas). Si pierde el control de las claves raíz, póngase en contacto con Soporte técnico de Microsoft para recuperar datos cifrados con la clave de disponibilidad y migrar a un nuevo DEP con las nuevas claves raíz que aprovisione.
La clave de disponibilidad difiere de las claves de Azure Key Vault de tres maneras:
- Proporciona una opción de recuperación o de interrupción si se pierden ambas claves de Azure Key Vault.
- La separación lógica del control y el almacenamiento agrega defensa en profundidad y ayuda a evitar la pérdida total de claves o datos debido a un único error.
- Admite la alta disponibilidad durante los problemas de acceso temporal de Azure Key Vault para el cifrado del servicio Exchange o Multi-Workload. SharePoint y OneDrive solo usan la clave de disponibilidad durante una recuperación explícita que solicite.
Microsoft comparte la responsabilidad de proteger los datos a través de procesos y protecciones de administración de claves en capas. Este enfoque reduce el riesgo de pérdida permanente de datos o claves. Tiene la única autoridad para deshabilitar o destruir la clave de disponibilidad si deja el servicio. Por diseño, nadie de Microsoft puede acceder directamente a la clave de disponibilidad; solo el código de servicio de Microsoft 365 puede usarlo.
Para obtener más información sobre cómo Microsoft protege las claves, consulte el Centro de confianza de Microsoft.
Uso de la clave de disponibilidad
La clave de disponibilidad admite la recuperación si un atacante externo o un insider malintencionado obtiene el control del almacén de claves o si la mala administración provoca la pérdida de claves raíz. Esta funcionalidad de recuperación se aplica a todos los servicios de Microsoft 365 que admiten la clave de cliente. Algunos servicios también lo usan para escenarios limitados de alta disponibilidad.
Comportamiento compartido:
- Recuperación: admite el descifrado de datos para que pueda volver a cifrarlos con un nuevo DEP y nuevas claves de cliente.
- Solo uso mediante programación: el acceso se realiza a través del código de servicio de Microsoft 365. No hay acceso de administrador directo.
- No es un sustituto de las claves operativas: las dos claves de cliente siguen siendo las raíces de cifrado principales.
Comportamiento del servicio por carga de trabajo:
Además de la recuperación, el servicio usa la clave de disponibilidad durante breves interrupciones de Azure Key Vault o errores de red. Esta funcionalidad mantiene los datos de buzón accesibles para las tareas en segundo plano necesarias:
- Examen antivirus y antimalware
- eDiscovery
- Prevención de pérdida de datos de Microsoft Purview
- Movimientos de buzones
- Indización
Si un intento de desencapsulado con una clave de cliente devuelve un error del sistema, Exchange intenta la segunda clave. Si se produce un error en ambos intentos con errores del sistema, vuelve a la clave de disponibilidad. Los errores de acceso denegado no lo desencadenan para las acciones del usuario.
Seguridad de clave de disponibilidad
Microsoft comparte la responsabilidad de proteger los datos mediante la generación de la clave de disponibilidad y la aplicación de controles estrictos para protegerlos.
Los clientes no tienen acceso directo a la clave de disponibilidad. Por ejemplo, solo puede revertir las claves que administra en Azure Key Vault. Microsoft administra la clave de disponibilidad a través de código de servicio automatizado sin exponerla a los usuarios.
Para obtener más información, consulte Roll or rotate a Customer Key or an availability key (Roll or rotate a Customer Key or an availability key).
Almacenes de secretos de clave de disponibilidad
Microsoft protege las claves de disponibilidad en almacenes de secretos internos controlados de acceso, de forma similar a Azure Key Vault. Los controles de acceso impiden que los administradores de Microsoft recuperen directamente los secretos almacenados. Todas las operaciones (incluida la rotación y eliminación) se producen a través de código de servicio automatizado.
Las operaciones de administración se limitan a ingenieros específicos y requieren escalación de privilegios a través de La caja de seguridad. Las solicitudes deben incluir justificación, aprobación del administrador, límite de tiempo y revocación automática al expirar o cerrar la sesión.
Las claves de disponibilidad de Exchange y de varias cargas de trabajo se almacenan en un almacén secreto de Exchange Active Directory dentro de contenedores específicos del inquilino en el controlador de Dominio de Active Directory. Este almacén está aislado del que usan SharePoint y OneDrive.
Las claves de disponibilidad de SharePoint y OneDrive se almacenan en un almacén secreto interno con servidores front-end que proporcionan puntos de conexión de aplicación y un back-end SQL Database. Las claves se encapsulan con claves de cifrado de almacén de secretos que usan AES-256 y HMAC. Esas claves se almacenan en un área de base de datos aislada lógicamente y se cifran mediante certificados RSA-2048 emitidos por la entidad de certificación (CA) de Microsoft. Los certificados se almacenan en los servidores front-end que realizan operaciones de base de datos.
Defensa en profundidad
Microsoft usa una estrategia de defensa en profundidad para ayudar a evitar que actores malintencionados ponga en peligro la confidencialidad, integridad o disponibilidad de los datos de los clientes almacenados en la nube de Microsoft. Existen controles preventivos y de detectives específicos para proteger el almacén secreto y la clave de disponibilidad como parte de este enfoque de seguridad en capas.
Microsoft 365 está diseñado para evitar el uso indebido de la clave de disponibilidad. La capa de aplicación es la única interfaz que puede usar claves (incluida la clave de disponibilidad) para el cifrado y descifrado. Solo el código de servicio de Microsoft 365 puede interpretar y recorrer la jerarquía de claves. El aislamiento lógico existe entre las ubicaciones de almacenamiento de claves de cliente, claves de disponibilidad, otras claves jerárquicas y datos de cliente. Esta separación reduce el riesgo de exposición de datos si alguna ubicación está en peligro. Cada capa de la jerarquía de claves incluye la detección continua de intrusiones para proteger los datos almacenados y los secretos.
Los controles de acceso impiden el acceso no autorizado a los sistemas internos, incluidos los almacenes de secretos de clave de disponibilidad. Los ingenieros de Microsoft no tienen acceso directo a estas tiendas. Para obtener más información, vea Controles de acceso administrativo en Microsoft 365.
Los controles técnicos también impiden que el personal de Microsoft inicie sesión en cuentas de servicio con privilegios elevados, que los atacantes podrían usar de otro modo para suplantar servicios de Microsoft. Estos controles bloquean los intentos de inicio de sesión interactivos.
El registro y la supervisión de seguridad son otras medidas de seguridad en el enfoque de defensa en profundidad de Microsoft. Los equipos de servicio implementan soluciones de supervisión que generan alertas y registros de auditoría. Todos los registros se cargan en un repositorio central, donde se agregan y analizan. Las herramientas internas evalúan automáticamente estos registros para garantizar que los servicios permanezcan seguros, resistentes y funcionen según lo previsto. La actividad inusual se marca para su revisión.
Cualquier evento que indique una posible infracción de la directiva de seguridad de Microsoft se escala a los equipos de seguridad de Microsoft. Las alertas de seguridad de Microsoft 365 están configuradas para detectar intentos de acceso a almacenes de secretos de clave de disponibilidad e intentos de inicio de sesión no autorizados en cuentas de servicio. El sistema también detecta desviaciones del comportamiento esperado del servicio de línea base. Cualquier intento de usar mal los servicios de Microsoft 365 desencadena alertas y puede dar lugar a que el delincuente se quite del entorno de Microsoft Cloud.
Uso de la clave de disponibilidad para recuperarse de la pérdida de claves
Si pierde el control de las claves de cliente, la clave de disponibilidad le permite descifrar los datos afectados y volver a cifrarlos en un nuevo DEP con nuevas claves de cliente.
- Cree dos claves de cliente en suscripciones de Azure independientes.
- Cree un nuevo DEP de Exchange.
- Asigne el DEP a los buzones afectados.
- Permitir el cifrado en segundo plano (puede tardar hasta 72 horas). La clave de disponibilidad protege los datos durante la transición.
Cómo se usa la clave de disponibilidad
Al crear una directiva de cifrado de datos (DEP) con clave de cliente, Microsoft 365 genera una clave DEP asociada a esa directiva. El servicio cifra la clave DEP tres veces: una con cada una de las claves de cliente y una con la clave de disponibilidad. Solo se almacenan las versiones cifradas de la clave DEP. Una clave DEP solo se puede descifrar con una de las claves de cliente o la clave de disponibilidad.
La clave DEP se usa para cifrar las claves de buzón, que a su vez cifran buzones individuales.
Microsoft 365 usa el proceso siguiente para descifrar y proporcionar acceso a los datos del buzón:
- Descifra la clave DEP mediante una clave de cliente.
- Use la clave DEP descifrada para descifrar la clave de buzón.
- Use la clave de buzón de correo descifrada para descifrar el buzón y proporcionar acceso a los datos.
Desencadenadores de clave de disponibilidad
Microsoft 365 desencadena la clave de disponibilidad solo en circunstancias específicas y esas circunstancias varían según el servicio.
Microsoft 365 sigue esta secuencia cuando necesita una clave DEP para una operación de buzón:
- Lee la directiva de cifrado de datos (DEP) asignada al buzón para identificar las dos claves de cliente almacenadas en Azure Key Vault.
- Selecciona aleatoriamente una de las dos claves y envía una solicitud a Azure Key Vault para desencapsular (descifrar) la clave DEP.
- Si se produce un error en esa solicitud, envía una segunda solicitud mediante la clave alternativa.
- Si se produce un error en ambas solicitudes, Microsoft 365 evalúa el tipo de error:
- Errores del sistema (por ejemplo, azure Key Vault servicio no disponible, tiempos de espera, errores transitorios de red): la clave de disponibilidad se usa para desencapsular la clave DEP. A continuación, la clave DEP descifra la clave de buzón y el servicio completa la operación.
- Errores de acceso denegado (clave eliminada, permisos eliminados, eliminación intencionada o accidental durante los procesos de purga): la clave de disponibilidad no se usa para las acciones iniciadas por el usuario. Se produce un error en la solicitud de usuario y devuelve un error.
Importante
El código de servicio mantiene tokens válidos para el procesamiento interno necesario. Hasta que elimine la clave de disponibilidad, las operaciones internas de Exchange (como movimientos de buzón, indexación, examen antivirus, eDiscovery, DLP) pueden volver a la clave de disponibilidad cuando ambas claves de cliente no son accesibles, ya sea que la causa sea un error del sistema o un acceso denegado. Este diseño ayuda a conservar la resistencia del servicio mientras se investiga.
Registros de auditoría y la clave de disponibilidad
El procesamiento en segundo plano automatizado (antivirus, eDiscovery, DLP, indexación) no genera registros visibles para el cliente; El personal de Microsoft no tiene acceso a los datos durante las operaciones normales.
Cuando Exchange accede a la clave de disponibilidad para proporcionar servicio, Microsoft 365 crea registros visibles para el cliente. Puede acceder a estos registros desde el portal de Microsoft Purview. Cada vez que el servicio usa la clave de disponibilidad, genera una entrada de registro de auditoría.
Los eventos de reserva crean entradas de registro de auditoría unificada :
- Tipo de registro: CustomerKeyServiceEncryption
- Actividad: Reserva a clave de disponibilidad
Los campos incluyen fecha, hora, actividad, identificador de organización, id. de DEP, id. de directiva, id. de versión de clave de ámbito, id. de solicitud (esquema común de la actividad de administración).
Dentro de los detalles del registro, el campo Workload muestra Exchange.
Clave de disponibilidad en la jerarquía clave de cliente
Microsoft 365 usa la clave de disponibilidad para encapsular el nivel de claves debajo de ella en la jerarquía de cifrado de claves de cliente. Cada servicio tiene una jerarquía de claves diferente. Los algoritmos de clave también varían entre las claves de disponibilidad y otras claves de la jerarquía.
Los algoritmos de clave de disponibilidad utilizados por cada servicio son:
- Las claves de disponibilidad de Exchange usan AES-256.
- Las claves de disponibilidad de varias cargas de trabajo usan AES-256.
- Las claves de disponibilidad de SharePoint y OneDrive usan RSA-2048.
Cifrado de cifrado que se usa para cifrar claves para Exchange
Cifrado de cifrado que se usa para cifrar claves para SharePoint
