Freigeben über

Datenverschlüsselung in OneDrive und SharePoint

  • Artikel

Machen Sie sich mit den grundlegenden Elementen der Verschlüsselung für die Datensicherheit in OneDrive und SharePoint vertraut.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Sicherheit und Datenverschlüsselung in Microsoft 365

Microsoft 365 ist eine äußerst sichere Umgebung, die umfassenden Schutz auf mehreren Ebenen bietet: Physische Rechenzentrumssicherheit, Netzwerksicherheit, Zugriffssicherheit, Anwendungssicherheit und Datensicherheit. Dieser Artikel konzentriert sich insbesondere auf die Verschlüsselungsseite der Daten während der Übertragung und ruhenden Daten für OneDrive und SharePoint.

Sehen Sie sich im folgenden Video an, wie die Datenverschlüsselung funktioniert.

Verschlüsselung von Daten während der Übertragung

In OneDrive und SharePoint gibt es zwei Szenarien, in denen Daten in die Rechenzentren gelangen und diese verlassen.

  • Clientkommunikation mit dem Server Für die Kommunikation mit OneDrive über das Internet werden SSL-/TLS-Verbindungen verwendet. Alle TLS-Verbindungen werden mit 2048-Bit-Schlüsseln hergestellt.

  • Datenverschiebung zwischen Rechenzentren Der Hauptgrund für das Verschieben von Daten zwischen Rechenzentren ist die Georeplikation, um die Notfallwiederherstellung zu ermöglichen. Beispielsweise werden SQL Server-Transaktionsprotokolle und BLOB-Speicher-Deltas entlang dieser Pipe übertragen. Obwohl diese Daten bereits über ein privates Netzwerk übertragen werden, sind sie mit der best-in-class-Verschlüsselung weiter geschützt.

Verschlüsselung von Daten im Ruhezustand

Die Verschlüsselung im Ruhezustand enthält zwei Komponenten: BitLocker-Verschlüsselung auf Datenträgerebene und dateispezifische Verschlüsselung von Kundeninhalten.

BitLocker wird für OneDrive und SharePoint im gesamten Dienst bereitgestellt. Die Verschlüsselung pro Datei erfolgt auch in OneDrive und SharePoint in microsoft 365 multimandanten und neuen dedizierten Umgebungen, die auf mehrinstanzenfähiger Technologie basieren.

Während alle Daten auf einem Datenträger mit BitLocker verschlüsselt werden, geht die Dateiverschlüsselung sogar noch weiter, indem ein eindeutiger Schlüssel für jede Datei eingeschlossen wird. Darüber hinaus wird jede Aktualisierung jeder Datei mit einem eigenen Schlüssel verschlüsselt. Die Schlüssel für den verschlüsselten Inhalt werden an einem physisch vom Inhalt getrennten Speicherort gespeichert. Jeder Schritt der Verschlüsselung verwendet AES (Advanced Encryption Standard, erweiterter Verschlüsselungsstandard) mit 256-Bit-Schlüsseln und ist zu FIPS 140-2 (Federal Information Processing Standard) kompatibel. Der verschlüsselte Inhalt wird auf viele Container im gesamten Rechenzentrum verteilt, und jeder Container verfügt über eindeutige Anmeldeinformationen. Diese Anmeldeinformationen werden in einem vom Inhalt oder den Inhaltsschlüsseln separaten physischen Speicherort gespeichert.

Weitere Informationen zur FIPS 140-2-Konformität finden Sie unter FIPS 140-2 Compliance.

Bei der Verschlüsselung ruhender Daten auf Dateiebene wird Blobspeicher genutzt, um Speicherwachstum zu ermöglichen und einen noch nie dagewesenen Schutz zu ermöglichen. Alle Kundeninhalte in OneDrive und SharePoint werden zu Blob Storage migriert. So werden die Daten geschützt:

  1. Alle Inhalte werden verschlüsselt, möglicherweise mit mehreren Schlüsseln, und über das Rechenzentrum verteilt. Jede zu speichernde Datei wird je nach Größe in einen oder mehrere Blöcke unterteilt. Dann wird jeder Block mit einem eigenen eindeutigen Schlüssel verschlüsselt. Aktualisierungen werden auf ähnliche Weise behandelt: Der Satz von Änderungen oder Deltas, die von einem Benutzer übermittelt werden, wird in Blöcke unterteilt, und jeder wird mit einem eigenen Schlüssel verschlüsselt.

  2. Alle diese Blöcke – Dateien, Teile von Dateien und Aktualisierungsdeltas – werden als BLOBs in unserem BLOB-Speicher gespeichert. Sie werden zudem nach dem Zufallsprinzip auf mehrere BLOB-Container verteilt.

  3. Die "Zuordnung", die zum Neuassemieren der Datei aus ihren Komponenten verwendet wird, wird in der Inhaltsdatenbank gespeichert.

  4. Jeder BLOB-Container besitzt eigene eindeutige Anmeldeinformationen pro Zugriffstyp (Lesen, Schreiben, Aufzählen und Löschen). Jeder Satz von Anmeldeinformationen wird im sicheren Schlüsselspeicher aufbewahrt und regelmäßig aktualisiert.

Anders gesagt, sind drei unterschiedliche Arten von Speicher an der Verschlüsselung im Ruhezustand beteiligt, jede mit einer anderen Funktion:

  • Inhalt wird als verschlüsselte BLOBs im BLOB-Speicher gespeichert. Der Schlüssel für jeden Inhaltsblock wird verschlüsselt und separat in der Inhaltsdatenbank gespeichert. Der Inhalt selbst enthält keinen Hinweis darauf, wie er entschlüsselt werden kann.

  • Die Inhaltsdatenbank ist eine SQL Server-Datenbank. Es enthält die Zuordnung, die erforderlich ist, um alle im Blobspeicher gespeicherten Inhaltsblobs zu suchen und neu zu erstellen, sowie die Schlüssel, die zum Entschlüsseln dieser Blobs erforderlich sind.

Jede dieser drei Speicherkomponenten – BLOB-Speicher, Inhaltsdatenbank und Schlüsselspeicher – ist physisch getrennt. Die Informationen in einer der Komponenten sind allein unbrauchbar. Diese Strategie bietet ein beispielloses Maß an Sicherheit. Ohne Zugriff auf alle drei Blöcke ist es unmöglich, die Schlüssel für die Blöcke abzurufen, die Schlüssel zu entschlüsseln, um sie nutzbar zu machen, die Schlüssel mit den entsprechenden Blöcken zu verknüpfen, einen beliebigen Block zu entschlüsseln oder ein Dokument aus seinen bestandteilen Blöcken zu rekonstruieren.