可用性密钥是创建数据加密策略时自动生成和预配的根密钥, (DEP) 。 Microsoft 365 存储和保护此密钥。
可用性密钥的功能类似于为客户密钥提供的两个根密钥。 它将密钥包装在密钥层次结构中低一层。 与 Azure 密钥保管库 中管理的密钥不同,无法直接访问可用性密钥。 Microsoft 365 自动化服务以编程方式管理和使用它。
它的主要用途是支持从 (管理的根密钥意外丢失(例如,通过管理不力或恶意作) )进行恢复。 如果失去对根密钥的控制,请联系 Microsoft 支持部门 以使用可用性密钥恢复加密数据,并使用预配的新根密钥迁移到新的 DEP。
可用性密钥与 Azure 密钥保管库密钥在三个方面不同:
- 如果两个 Azure 密钥保管库密钥都丢失,它将提供恢复或断开选项。
- 控制和存储的逻辑分离增加了深层防御,并有助于防止由于单个故障而完全丢失密钥或数据。
- 在临时 Azure 密钥保管库 Exchange 或多工作负载服务加密的访问问题期间,它支持高可用性。 SharePoint 和 OneDrive 仅在请求的显式恢复期间使用可用性密钥。
Microsoft分担通过分层密钥管理保护和流程保护数据的责任。 此方法可降低永久密钥或数据丢失的风险。 如果退出服务,你拥有禁用或销毁可用性密钥的唯一权限。 根据设计,Microsoft的任何人都无法直接访问可用性密钥;只有 Microsoft 365 服务代码才能使用它。
有关Microsoft如何保护密钥的详细信息,请参阅 Microsoft信任中心。
可用性密钥使用
如果外部攻击者或恶意内部成员控制了密钥保管库,或者管理不力导致根密钥丢失,则可用性密钥支持恢复。 此恢复功能适用于支持客户密钥的所有 Microsoft 365 服务。 某些服务还将其用于有限的高可用性方案。
共享行为:
- 恢复:支持解密数据,以便可以使用新的 DEP 和新的客户密钥重新加密数据。
- 仅以编程方式使用:通过 Microsoft 365 服务代码进行访问。 没有直接的管理员访问权限。
- 不能替代作密钥:两个客户密钥仍然是主要加密根。
按工作负载排序的服务行为:
除了恢复,该服务在短时间 Azure 密钥保管库中断或网络错误期间使用可用性密钥。 此功能使邮箱数据可供所需的后台任务访问:
- 反恶意软件和防病毒扫描
- 电子数据展示
- Microsoft Purview 数据丢失防护
- 邮箱移动
- 索引
如果使用一个客户密钥的解包尝试返回系统错误,Exchange 将尝试第二个密钥。 如果两次尝试都失败并出现系统错误,则会回退到可用性密钥。 拒绝访问错误不会触发用户作。
可用性密钥安全性
Microsoft通过生成可用性密钥并应用严格的控制来保护数据,从而分担保护数据的责任。
客户没有对可用性密钥的直接访问权限。 例如,只能滚动在 Azure 密钥保管库中管理的密钥。 Microsoft通过自动化服务代码管理可用性密钥,而无需将其公开给用户。
有关详细信息,请参阅 滚动或轮换客户密钥或可用性密钥。
可用性密钥机密存储
Microsoft保护访问控制的内部机密存储中的可用性密钥,类似于 Azure 密钥保管库。 访问控制可防止Microsoft管理员直接检索存储的机密。 所有作 (包括轮换和删除) 都通过自动化服务代码进行。
管理作仅限于特定的工程师,需要通过密码箱提升权限。 请求必须包括理由、经经理批准、有时限,并在过期或注销时自动撤销。
Exchange 和多工作负载可用性密钥存储在 Active Directory 域 控制器中特定于租户的容器内的 Exchange Active Directory 机密存储中。 此存储与 SharePoint 和 OneDrive 使用的存储隔离。
SharePoint 和 OneDrive 可用性密钥存储在内部机密存储中,前端服务器提供应用程序终结点和SQL 数据库后端。 密钥使用使用 AES-256 和 HMAC 的机密存储加密密钥进行包装。 这些密钥存储在逻辑上隔离的数据库区域中,并使用Microsoft证书颁发机构 (CA) 颁发的 RSA-2048 证书进一步加密。 证书存储在执行数据库作的前端服务器上。
深层防御
Microsoft使用深层防御策略来帮助防止恶意参与者损害存储在 Microsoft 云中的客户数据的机密性、完整性或可用性。 作为此分层安全方法的一部分,已制定特定的预防和检测控制措施,以保护机密存储和可用性密钥。
Microsoft 365 旨在防止滥用可用性密钥。 应用程序层是唯一可以使用密钥 (包括用于加密和解密的可用性密钥) 的接口。 只有 Microsoft 365 服务代码可以解释和遍历密钥层次结构。 客户密钥、可用性密钥、其他分层密钥和客户数据的存储位置之间存在逻辑隔离。 如果任何位置遭到入侵,这种分离可降低数据泄露的风险。 密钥层次结构中的每个层都包含连续入侵检测,以保护存储的数据和机密。
访问控制可防止对内部系统(包括可用性密钥机密存储)进行未经授权的访问。 Microsoft工程师无法直接访问这些商店。 有关详细信息,请参阅 Microsoft 365 中的管理访问控制。
技术控制还防止Microsoft人员登录到高特权服务帐户,攻击者可能利用这些帐户来模拟Microsoft服务。 这些控件阻止交互式登录尝试。
安全日志记录和监视是Microsoft的深层防御方法中的其他安全措施。 服务团队部署生成警报和审核日志的监视解决方案。 所有日志都上传到中央存储库,并在其中聚合和分析日志。 内部工具会自动评估这些记录,以确保服务保持安全、可复原并按预期运行。 异常活动已标记为审核。
任何可能违反Microsoft安全策略的事件都上报给Microsoft安全团队。 Microsoft 365 安全警报配置为检测尝试访问可用性密钥机密存储以及未经授权的登录尝试服务帐户。 系统还会检测与预期基线服务行为的偏差。 任何滥用 Microsoft 365 服务的尝试都会触发警报,并可能导致罪犯从 Microsoft 云环境中删除。
使用可用性密钥从密钥丢失中恢复
如果失去对客户密钥的控制,可用性密钥可让你解密受影响的数据,并使用新的客户密钥在新的 DEP 下重新加密它。
- 在单独的 Azure 订阅中创建两个新的客户密钥。
- 创建新的 Exchange DEP。
- 将 DEP 分配给受影响的邮箱。
- 允许后台重新加密 (最多可能需要 72 小时) 。 可用性密钥在转换期间保护数据。
可用性密钥的使用方式
使用客户密钥 (DEP) 创建数据加密策略时,Microsoft 365 会生成与该策略关联的 DEP 密钥。 该服务对 DEP 密钥进行三次加密:使用每个客户密钥加密一次,使用可用性密钥加密一次。 仅存储 DEP 密钥的加密版本。 DEP 密钥只能使用客户密钥或可用性密钥之一进行解密。
DEP 密钥用于加密邮箱密钥,从而加密单个邮箱。
Microsoft 365 使用以下过程来解密并提供对邮箱数据的访问权限:
- 使用客户密钥解密 DEP 密钥。
- 使用解密的 DEP 密钥解密邮箱密钥。
- 使用解密的邮箱密钥解密邮箱并提供对数据的访问权限。
可用性键触发器
Microsoft 365 仅在特定情况下触发可用性密钥,这些情况因服务而异。
Microsoft 365 在邮箱作需要 DEP 密钥时遵循以下顺序:
- 它读取分配给邮箱 (DEP) 的数据加密策略,以识别存储在 Azure 密钥保管库 中的两个客户密钥。
- 它会随机选择两个密钥之一,并向 Azure 密钥保管库发送请求,以解包 (解密 DEP 密钥) 。
- 如果该请求失败,它将使用备用密钥发送第二个请求。
- 如果两个请求都失败,Microsoft 365 将评估失败类型:
- 系统错误 (例如 Azure 密钥保管库 服务不可用、超时、暂时性网络故障) :可用性密钥用于解包 DEP 密钥。 然后,DEP 密钥解密邮箱密钥,服务完成作。
- 在清除过程中) 删除密钥、删除权限、有意或意外删除 (拒绝访问错误:可用性密钥不用于用户启动的作。 用户请求失败并返回错误。
重要
服务代码维护有效的令牌,以便进行所需的内部处理。 在删除可用性密钥之前,内部 Exchange作 ((例如邮箱移动、索引、防病毒扫描、电子数据展示、DLP) )仍可以回退到可用性密钥(无论原因是系统错误还是访问被拒绝)。 此设计有助于在调查时保留服务复原能力。
审核日志和可用性密钥
自动后台处理 (防病毒、电子数据展示、DLP、索引) 不会生成客户可见的日志;Microsoft人员在正常作期间无法访问数据。
当 Exchange 访问可用性密钥以提供服务时,Microsoft 365 会创建客户可见的日志。 可以从 Microsoft Purview 门户访问这些日志。 每次服务使用可用性密钥时,都会生成审核日志条目。
回退事件创建 统一审核日志 条目:
- 记录类型:CustomerKeyServiceEncryption
- 活动:回退到可用性密钥
字段包括日期、时间、活动、组织 ID、DEP ID、策略 ID、范围密钥版本 ID、请求 ID (管理活动公共架构) 。
在日志详细信息中,字段 Workload 显示 Exchange。
客户密钥层次结构中的可用性密钥
Microsoft 365 使用可用性密钥在客户密钥加密层次结构中包装其下方的密钥层。 每个服务都有一个不同的密钥层次结构。 键算法在层次结构中的可用性键和其他键之间也有所不同。
每个服务使用的可用性密钥算法包括:
- Exchange 可用性密钥使用 AES-256。
- 多工作负载可用性密钥使用 AES-256。
- SharePoint 和 OneDrive 可用性密钥使用 RSA-2048。
用于加密 Exchange 密钥的加密密码
用于加密 SharePoint 密钥的加密密码
