了解 OneDrive 和 SharePoint 中資料安全性加密的基本元素。
Microsoft 365 中的安全性和資料加密
Microsoft 365 是一個高度安全的環境,可在多個層次上提供廣泛的保護:實體資料中心安全性、網路安全性、存取安全性、應用程式安全性和資料安全性。 本文特別著重於 OneDrive 和 SharePoint 資料安全性的傳輸中和靜態加密端。
觀看下列影片,了解資料加密如何運作。
傳輸中資料的加密
在 OneDrive 和 SharePoint 中,有兩種案例會讓資料進入和離開資料中心。
用戶端與伺服器的通訊 透過因特網與 OneDrive 的通訊會使用 SSL/TLS 連線。 所有 TLS 連線都是使用 2048 位元金鑰建立的。
資料中心之間的資料移動 在資料中心之間移動資料的主要原因是異地複寫以啟用災害復原。 例如,SQL Server交易記錄和 Blob 儲存體差異會隨時此管道流動。 雖然這些資料已經透過專用網路傳輸,但它透過一流的加密進一步受到保護。
靜態資料的加密
靜態加密包括兩個元件:BitLocker 磁碟層級加密,以及客戶內容的每一檔案加密。
BitLocker 會針對整個服務的 OneDrive 和 SharePoint 部署。 每個文件加密也存在於 Microsoft 365 多租戶和基於多租戶技術構建的新專用環境中的 OneDrive 和 SharePoint。
當 BitLocker 加密磁碟中的所有資料時,每一檔案的加密會進一步地納入每個檔案唯一的加密金鑰。 此外,每個檔案的每次更新都會使用自己的加密金鑰進行加密。 加密內容的金鑰儲存在與內容實體上不同的位置。 此加密的每個步驟都會使用搭配 256 位元機碼的進階加密標準 (AES),並與聯邦資訊處理標準 (FIPS) 140-2 相容。 加密內容分佈在整個資料中心的許多容器中,每個容器都有唯一的憑證。 這些認證會儲存在內容或內容金鑰等不同的實體位置。
如需 FIPS 140-2 合規性的詳細資訊,請參閱 FIPS 140-2 合規性。
待用檔案層級加密會利用 Blob 儲存體來提供儲存體成長,並啟用前所未有的保護。 OneDrive 和 SharePoint 中的所有客戶內容都會移轉至 Blob 儲存體。 以下是保護資料的方法:
所有內容都經過加密,可能使用多個金鑰,並分佈在整個資料中心。 每個要儲存的檔案都會根據其大小分成一個或多個區塊。 接著,每個區塊都會使用自己唯一的金鑰加密。 也會以相同的方式處理更新:由使用者提交的變更集或差異項目都會分成數個區塊,每個區塊都會以自己的金鑰加密。
所有這些區塊—包括檔案、檔案片段及更新差異項目—都會在我們的 Blob 存放區中儲存為 Blob。 這些區塊也會隨機地分散至多個 Blob 容器中。
用來從其元件重組檔案的「對映」會儲存在內容資料庫中。
每個 Blob 容器中的存取類型 (包括讀取、寫入、列舉及刪除) 都有自己特有的認證。 每個認證集都會保留在安全的金鑰存放區中,且會定期重新整理。
換句話說,每一檔案靜態加密都包含三種不同的儲存類型,每個類型都有不同的功能:
內容會在 Blob 存放區中儲存為已加密 Blob。 每個內容區塊的金鑰都會加密,且分別儲存在內容資料庫中。 內容本身不會保留任何解密線索。
內容資料庫是 SQL Server 資料庫。 它包含尋找和重新組合 Blob 存放區中保留的所有內容 Blob 所需的對應,以及解密這些 Blob 所需的金鑰。
這三個儲存體元件 (Blob 存放區、內容資料庫和金鑰存放區) 在實體上都是獨立的。 任何一個元件中保存的資訊本身都無法使用。 此策略提供了前所未有的安全等級。 如果無法存取這三個區塊,就無法擷取區塊的金鑰、解密金鑰以使其可用、將金鑰與其對應的區塊相關聯、解密任何區塊或從其組成區塊重建文件。