Condividi tramite

Crittografia nel cloud Microsoft

  • Articolo

I dati dei clienti all'interno dei servizi cloud aziendali di Microsoft sono protetti da diverse tecnologie e processi, tra cui varie forme di crittografia. I dati dei clienti in questo documento includono Exchange Online contenuto della cassetta postale, il corpo della posta elettronica, le voci del calendario e il contenuto degli allegati di posta elettronica e, se applicabile, Skype for Business contenuto, il contenuto del sito di SharePoint e i file archiviati all'interno dei siti e i file caricati in OneDrive o Skype for Business.) Microsoft usa più metodi di crittografia, protocolli e crittografie nei prodotti e nei servizi. La crittografia consente di offrire ai dati dei clienti un percorso sicuro per viaggiare attraverso i servizi cloud e di proteggere la riservatezza dei dati dei clienti archiviati all'interno dei servizi cloud. Microsoft usa alcuni dei protocolli di crittografia più sicuri e sicuri disponibili per offrire barriere all'accesso non autorizzato ai dati dei clienti. La corretta gestione delle chiavi è anche un elemento essenziale delle procedure consigliate per la crittografia e Microsoft lavora per garantire che tutte le chiavi di crittografia gestite da Microsoft siano protette correttamente.

I dati dei clienti archiviati nei servizi cloud aziendali di Microsoft sono protetti tramite una o più forme di crittografia. Più revisori non Microsoft convalidano in modo indipendente i criteri di crittografia e la relativa applicazione. I report di tali controlli sono disponibili nel portale di attendibilità del servizio.

Microsoft offre tecnologie sul lato servizio che crittografa i dati dei clienti inattivi e in transito. Ad esempio, per i dati dei clienti inattivi, Microsoft Azure usa BitLocker e DM-Crypt e Microsoft 365 usa BitLocker, Crittografia del servizio di archiviazione di Azure, Distributed Key Manager (DKM) e crittografia del servizio Microsoft 365. Per i dati dei clienti in transito, Azure, Office 365, supporto commerciale Microsoft, Microsoft Dynamics 365, Microsoft Power BI e Visual Studio Team Services usare protocolli di trasporto sicuri standard del settore, ad esempio Internet Protocol Security (IPsec) e Transport Layer Security (TLS), tra data center Microsoft e tra dispositivi utente e Data center Microsoft.

Oltre al livello di base della sicurezza crittografica fornito da Microsoft, i servizi cloud includono anche opzioni di crittografia che è possibile gestire. Ad esempio, è possibile abilitare la crittografia per il traffico tra le macchine virtuali di Azure e gli utenti. Con le reti virtuali di Azure è possibile usare il protocollo IPsec standard del settore per crittografare il traffico tra il gateway VPN aziendale e Azure. È anche possibile crittografare il traffico tra le macchine virtuali nella rete virtuale. Inoltre, Microsoft Purview Message Encryption consente di inviare messaggi crittografati a chiunque.

In seguito alla Standard di sicurezza operativa dell'infrastruttura a chiave pubblica, che è un componente dei criteri di sicurezza Microsoft, Microsoft usa le funzionalità di crittografia incluse nel sistema operativo Windows per i certificati e i meccanismi di autenticazione. Questi meccanismi includono l'uso di moduli di crittografia che soddisfano lo standard FIPS (Federal Information Processing Standards ) 140-2 del governo degli Stati Uniti. È possibile cercare i numeri di certificato del National Institute of Standards and Technology (NIST) pertinenti per Microsoft usando il programma di convalida del modulo crittografico (CMVP).

[NOTA] I criteri di sicurezza Microsoft non sono resi disponibili come download pubblico. Per informazioni sui criteri, contattare Microsoft.

FIPS 140-2 è uno standard progettato specificamente per convalidare i moduli di prodotto che implementano la crittografia anziché i prodotti che li usano. I moduli di crittografia implementati all'interno di un servizio possono essere certificati in base ai requisiti per il livello di hash, la gestione delle chiavi e così via. I moduli di crittografia e le crittografie usati per proteggere la riservatezza, l'integrità o la disponibilità dei dati nei servizi cloud Microsoft soddisfano lo standard FIPS 140-2.

Microsoft certifica i moduli di crittografia sottostanti usati nei servizi cloud con ogni nuova versione del sistema operativo Windows:

  • Azure e Azure U.S. Government
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense

La crittografia dei dati dei clienti inattivi viene fornita da più tecnologie sul lato servizio, tra cui BitLocker, DKM, Crittografia del servizio di archiviazione di Azure e crittografia del servizio in Exchange, OneDrive e SharePoint. La crittografia del servizio Microsoft 365 include un'opzione per usare chiavi di crittografia gestite dal cliente archiviate in Azure Key Vault. Questa opzione chiave gestita dal cliente è denominata Chiave cliente ed è disponibile per Exchange, SharePoint, OneDrive, file di Teams e pc cloud Windows 365 (in anteprima pubblica).

Per i dati dei clienti in transito, tutti i server Office 365 negoziano sessioni sicure usando TLS per impostazione predefinita con i computer client per proteggere i dati dei clienti. Ad esempio, Office 365 negozia sessioni sicure per Skype for Business, Outlook, Outlook sul web, client per dispositivi mobili e Web browser.

Per impostazione predefinita, tutti i server rivolti ai clienti negoziano TLS 1.2.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.