Protezione e rischi della crittografa
Microsoft 365 segue un framework di controllo e conformità incentrato sui rischi per il servizio e per i dati dei clienti. Il servizio implementa un ampio set di tecnologie e metodi basati su processi, denominati controlli, per attenuare questi rischi. L'identificazione, la valutazione e la mitigazione dei rischi tramite i controlli è un processo continuo.
L'implementazione dei controlli nei livelli dei servizi cloud, ad esempio strutture, rete, server, applicazioni, utenti (ad esempio amministratori Microsoft) e dati, è una strategia di difesa approfondita. La chiave di questa strategia è che molti controlli diversi vengono implementati a livelli diversi per la protezione dagli stessi scenari di rischio o simili. Questo approccio multilivello offre una protezione sicura da errori in caso di errore di un controllo.
Alcuni scenari di rischio e le tecnologie di crittografia attualmente disponibili che li attenuano sono elencati in questa tabella. In molti casi, questi scenari vengono attenuati anche da altri controlli implementati in Microsoft 365.
| Tecnologia di crittografia | Servizi | Gestione delle chiavi | Scenario di rischio | Valore |
|---|---|---|---|---|
| BitLocker | Exchange e SharePoint | Microsoft | I dischi o i server vengono rubati o riciclati in modo non corretto. | BitLocker offre un approccio fail-safe per la protezione dalla perdita di dati dovuta a hardware rubato o riciclato in modo non corretto (server/disco). |
| Crittografia del servizio | SharePoint e OneDrive; Sostituzione | Microsoft | Un hacker interno o esterno tenta di accedere a singoli file/dati come BLOB. | I dati crittografati non possono essere decrittografati senza l'accesso alle chiavi. Consente di attenuare il rischio che un hacker accinga a accedere ai dati. |
| Customer Key | SharePoint, OneDrive ed Exchange | Cliente | N/D (questa funzionalità è progettata come funzionalità di conformità, non come mitigazione per qualsiasi rischio). | Aiuta i clienti a rispettare gli obblighi di conformità e regolamentazione interni e la possibilità di lasciare il servizio e revocare l'accesso di Microsoft ai dati |
| Transport Layer Security (TLS) tra Microsoft 365 e i client | Exchange, SharePoint, OneDrive, Teams e Viva Engage | Microsoft, Cliente | Attacco man-in-the-middle o di altro tipo per toccare il flusso di dati tra Microsoft 365 e i computer client su Internet. | Questa implementazione fornisce valore sia a Microsoft che ai clienti e garantisce l'integrità dei dati durante il flusso tra Microsoft 365 e il client. |
| TLS tra data center Microsoft | Exchange, SharePoint e OneDrive | Microsoft | Attacco man-in-the-middle o di altro tipo per toccare il flusso di dati dei clienti tra server Microsoft 365 situati in data center Microsoft diversi. | Questa implementazione è un altro metodo per proteggere i dati dagli attacchi tra data center Microsoft. |
| Azure Rights Management (Azure RMS) (incluso in Microsoft 365 o Azure Information Protection) | Exchange, SharePoint e OneDrive | Cliente | I dati rientrano nelle mani di una persona che non deve avere accesso ai dati. | Azure Information Protection usa Azure RMS, che offre valore ai clienti usando criteri di crittografia, identità e autorizzazione per proteggere i file e la posta elettronica in più dispositivi. Azure RMS offre opzioni di configurazione in cui tutti i messaggi di posta elettronica provenienti da Microsoft 365 che corrispondono a determinati criteri (ad esempio, tutti i messaggi di posta elettronica a un determinato indirizzo) possono essere crittografati automaticamente prima di essere inviati a un altro destinatario. |
| S/MIME | Exchange | Cliente | Una persona che non è il destinatario previsto ha ottenuto un messaggio di posta elettronica. | S/MIME consente di garantire che solo il destinatario previsto possa decrittografare un messaggio di posta elettronica crittografato. |
| Crittografia dei messaggi di Microsoft Purview | Exchange, SharePoint | Cliente | Una persona che non è il destinatario previsto ha ottenuto un messaggio di posta elettronica e i relativi allegati protetti. | La crittografia dei messaggi consente di configurare il tenant in modo che i messaggi di posta elettronica provenienti da Microsoft 365 che corrispondono a determinati criteri (ad esempio, tutti i messaggi di posta elettronica a un determinato indirizzo) vengano crittografati automaticamente prima dell'invio. |
| TLS SMTP (Simple Mail Transfer Protocol) con l'organizzazione partner | Exchange | Cliente | Email viene intercettato tramite un attacco man-in-the-middle o di altro tipo durante il transito da un tenant di Microsoft 365 a un'organizzazione partner. | Consente di inviare e ricevere tutti i messaggi di posta elettronica tra il tenant di Microsoft 365 e l'organizzazione di posta elettronica del partner all'interno di un canale SMTP crittografato. |
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Tecnologie di crittografia disponibili in ambienti multi-tenant
| Tecnologia di crittografia | Implementato da | Algoritmo di scambio di chiavi e forza | Gestione delle chiavi* | Federal Information Processing Standards (FIPS) 140-2 convalidato |
|---|---|---|---|---|
| BitLocker | Exchange | Advanced Encryption Standard (AES) a 256 bit | La chiave esterna AES viene archiviata in un segreto sicuro e nel Registro di sistema del server Exchange. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì |
| SharePoint | AES a 256 bit | La chiave esterna AES viene archiviata in un segreto sicuro. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì | |
| Skype for Business | AES a 256 bit | La chiave esterna AES viene archiviata in un segreto sicuro. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì | |
| Crittografia del servizio | SharePoint | AES a 256 bit | Le chiavi usate per crittografare i BLOB vengono archiviate nel database del contenuto di SharePoint. Il database del contenuto di SharePoint è protetto dai controlli di accesso al database e dalla crittografia inattivi. La crittografia viene eseguita usando transparent data encryption (TDE) nel database Azure SQL. Questi segreti sono a livello di servizio per SharePoint, non a livello di tenant. Questi segreti (a volte definiti chiavi master) vengono archiviati in un repository protetto separato denominato Archivio chiavi. TDE offre sicurezza inattivi sia per il database attivo che per i backup del database e i log delle transazioni. Quando i clienti forniscono la chiave facoltativa, la chiave viene archiviata in Azure Key Vault e il servizio usa la chiave per crittografare una chiave tenant, che viene usata per crittografare una chiave del sito, che viene quindi usata per crittografare le chiavi a livello di file. In sostanza, viene introdotta una nuova gerarchia di chiavi quando il cliente fornisce una chiave. | Sì |
| Skype for Business | AES a 256 bit | Ogni elemento di dati viene crittografato usando una chiave a 256 bit generata in modo casuale diversa. La chiave di crittografia viene archiviata in un file XML di metadati corrispondente, crittografato da una chiave master per conferenza. Anche la chiave master viene generata in modo casuale una volta per conferenza. | Sì | |
| Exchange | AES a 256 bit | Ogni cassetta postale viene crittografata usando un criterio di crittografia dei dati che usa chiavi di crittografia controllate da Microsoft o dal cliente (quando viene usata la chiave del cliente). | Sì | |
| TLS tra Microsoft 365 e client/partner | Exchange | TLS opportunistico che supporta più suite di crittografia | Il certificato TLS per Exchange (outlook.office.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Exchange è un certificato SHA1RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì, quando si usa TLS 1.2 con crittografia a 256 bit |
| SharePoint | TLS 1.2 con AES 256 Crittografia dei dati in OneDrive e SharePoint |
Il certificato TLS per SharePoint (*.sharepoint.com) è un certificato SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. Il certificato radice TLS per SharePoint è un certificato SHA1RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| Microsoft Teams | TLS 1.2 con AES 256 Domande frequenti su Microsoft Teams - Guida Amministrazione |
Il certificato TLS per Microsoft Teams (teams.microsoft.com, edge.skype.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Microsoft Teams è un certificato di SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| TLS tra data center Microsoft | Tutti i servizi di Microsoft 365 | TLS 1.2 con AES 256 Secure Real-Time Transport Protocol (SRTP) |
Microsoft usa un'autorità di certificazione gestita e distribuita internamente per le comunicazioni da server a server tra data center Microsoft. | Sì |
| Azure Rights Management (incluso in Microsoft 365 o Azure Information Protection) | Exchange | Supporta la modalità crittografica 2, un'implementazione di crittografia RMS aggiornata e migliorata. Supporta RSA 2048 per la firma e la crittografia e SHA-256 per l'hash nella firma. | Gestito da Microsoft. | Sì |
| SharePoint | Supporta la modalità crittografica 2, un'implementazione di crittografia RMS aggiornata e migliorata. Supporta RSA 2048 per la firma e la crittografia e SHA-256 per la firma. |
Gestito da Microsoft, che è l'impostazione predefinita; o Gestita dal cliente, che è un'alternativa alle chiavi gestite da Microsoft. Le organizzazioni che dispongono di una sottoscrizione di Azure gestita dall'IT possono usare BYOK (Bring Your Own Key) e registrarne l'utilizzo senza costi aggiuntivi. Per altre informazioni, vedere Implementazione di Bring Your Own Key. In questa configurazione vengono usati nCipher Hardware Security Modules (HSM) per proteggere le chiavi. |
Sì | |
| S/MIME | Exchange | Sintassi dei messaggi di crittografia Standard 1.5 (Public Key Cryptography Standard (PKCS) #7) | Dipende dall'infrastruttura a chiave pubblica gestita dal cliente distribuita. Il cliente gestisce le chiavi e Microsoft non ha mai accesso alle chiavi private usate per la firma e la decrittografia. | Sì, se configurato per crittografare i messaggi in uscita con 3DES o AES256 |
| Crittografia dei messaggi di Microsoft Purview | Exchange | Uguale ad Azure RMS (modalità crittografica 2 - RSA 2048 per la firma e la crittografia e SHA-256 per la firma) | Usa Azure Information Protection come infrastruttura di crittografia. Il metodo di crittografia utilizzato dipende da dove ottieni le chiavi RMS utilizzate per crittografare e decrittografare messaggi. | Sì |
| SMTP TLS con l'organizzazione partner | Exchange | TLS 1.2 con AES 256 | Il certificato TLS per Exchange (outlook.office.com) è un sha-256 a 2048 bit con certificato di crittografia RSA emesso da DigiCert Servizi cloud CA-1. Il certificato radice TLS per Exchange è un certificato SHA-1 a 2048 bit con certificato di crittografia RSA emesso da GlobalSign Root CA - R1. Per motivi di sicurezza, i certificati cambiano di volta in volta. |
Sì, quando si usa TLS 1.2 con crittografia a 256 bit |
*I certificati TLS a cui si fa riferimento in questa tabella sono per i data center degli Stati Uniti; I data center non statunitensi usano anche certificati di SHA256RSA a 2048 bit.
Tecnologie di crittografia disponibili negli ambienti della community cloud per enti pubblici
| Tecnologia di crittografia | Implementato da | Algoritmo di scambio delle chiavi e forza | Gestione delle chiavi* | CONVALIDATO FIPS 140-2 |
|---|---|---|---|---|
| BitLocker | Exchange | AES a 256 bit | La chiave esterna AES viene archiviata in un segreto sicuro e nel Registro di sistema del server Exchange. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì |
| SharePoint | AES a 256 bit | La chiave esterna AES viene archiviata in un segreto sicuro. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì | |
| Skype for Business | AES a 256 bit | La chiave esterna AES viene archiviata in un segreto sicuro. Secret Safe è un repository protetto che richiede l'elevazione e le approvazioni di alto livello per l'accesso. L'accesso può essere richiesto e approvato solo tramite uno strumento interno denominato Lockbox. La chiave esterna AES viene archiviata anche nel modulo Piattaforma attendibile nel server. Una password numerica a 48 cifre viene archiviata in Active Directory e protetta da Lockbox. | Sì | |
| Crittografia del servizio | SharePoint | AES a 256 bit | Le chiavi usate per crittografare i BLOB vengono archiviate nel database del contenuto di SharePoint. I database del contenuto di SharePoint sono protetti dai controlli di accesso al database e dalla crittografia inattivi. La crittografia viene eseguita usando TDE nel database Azure SQL. Questi segreti sono a livello di servizio per SharePoint, non a livello di tenant. Questi segreti (a volte definiti chiavi master) vengono archiviati in un repository protetto separato denominato Archivio chiavi. TDE offre sicurezza inattivi sia per il database attivo che per i backup del database e i log delle transazioni. Quando i clienti forniscono la chiave facoltativa, la chiave del cliente viene archiviata in Azure Key Vault. Il servizio usa la chiave per crittografare una chiave tenant, usata per crittografare una chiave del sito, che viene quindi usata per crittografare le chiavi a livello di file. In sostanza, viene introdotta una nuova gerarchia di chiavi quando il cliente fornisce una chiave. | Sì |
| Skype for Business | AES a 256 bit | Ogni elemento di dati viene crittografato usando una chiave a 256 bit generata in modo casuale diversa. La chiave di crittografia viene archiviata in un file XML dei metadati corrispondente. Una chiave master per conferenza crittografa questo file XML. Anche la chiave master viene generata in modo casuale una volta per conferenza. | Sì | |
| Exchange | AES a 256 bit | Ogni cassetta postale viene crittografata usando un criterio di crittografia dei dati che usa chiavi di crittografia controllate da Microsoft o dal cliente (quando viene usata la chiave del cliente). | Sì | |
| TLS tra Microsoft 365 e client/partner | Exchange | TLS opportunistico che supporta più suite di crittografia | Il certificato TLS per Exchange (outlook.office.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Exchange è un certificato SHA1RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì, quando si usa TLS 1.2 con crittografia a 256 bit |
| SharePoint | TLS 1.2 con AES 256 | Il certificato TLS per SharePoint (*.sharepoint.com) è un certificato SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. Il certificato radice TLS per SharePoint è un certificato SHA1RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| Microsoft Teams | Domande frequenti su Microsoft Teams - Guida Amministrazione | Il certificato TLS per Microsoft Teams (teams.microsoft.com; edge.skype.com) è un certificato SHA256RSA a 2048 bit rilasciato da Baltimore CyberTrust Root. Il certificato radice TLS per Microsoft Teams è un certificato di SHA256RSA a 2048 bit emesso da Baltimore CyberTrust Root. |
Sì | |
| TLS tra data center Microsoft | Exchange, SharePoint, Skype for Business | TLS 1.2 con AES 256 | Microsoft usa un'autorità di certificazione gestita e distribuita internamente per le comunicazioni da server a server tra data center Microsoft. | Sì |
| Secure Real-Time Transport Protocol (SRTP) | ||||
| Servizio Azure Rights Management | Exchange | Supporta la modalità crittografica 2, un'implementazione di crittografia RMS aggiornata e migliorata. Supporta RSA 2048 per la firma e la crittografia e SHA-256 per l'hash nella firma. | Gestito da Microsoft. | Sì |
| SharePoint | Supporta la modalità crittografica 2, un'implementazione di crittografia RMS aggiornata e migliorata. Supporta RSA 2048 per la firma e la crittografia e SHA-256 per l'hash nella firma. |
Gestito da Microsoft, che è l'impostazione predefinita; o Gestita dal cliente (nota anche come BYOK), che è un'alternativa alle chiavi gestite da Microsoft. Le organizzazioni che dispongono di una sottoscrizione di Azure gestita dall'IT possono usare BYOK e registrarne l'utilizzo senza costi aggiuntivi. Per altre informazioni, vedere Implementazione di Bring Your Own Key. Nello scenario BYOK, vengono usati nCipher HSM per proteggere le chiavi. |
Sì | |
| S/MIME | Exchange | Sintassi dei messaggi di crittografia Standard 1.5 (PKCS #7) | Dipende dall'infrastruttura a chiave pubblica distribuita. | Sì, se configurato per crittografare i messaggi in uscita con 3DES o AES-256. |
| Crittografia dei messaggi di Office 365 | Exchange | Come Azure RMS (modalità crittografica 2 - RSA 2048 per la firma e la crittografia e SHA-256 per l'hash nella firma) | Usa Azure RMS come infrastruttura di crittografia. Il metodo di crittografia utilizzato dipende da dove ottieni le chiavi RMS utilizzate per crittografare e decrittografare messaggi. Se si usa Azure RMS per ottenere le chiavi, viene usata la modalità crittografica 2. Se si utilizza Active Directory (AD) RMS per ottenere le chiavi, viene utilizzata la Modalità di crittografia 1 o la Modalità di crittografia 2. Il metodo utilizzato dipende dalla distribuzione Active directory (AD) RMS. La Modalità di crittografia 1 è l'implementazione di crittografia AD RMS originale. Supporta RSA 1024 per la firma e la crittografia e supporta SHA-1 per la firma. Tutte le versioni correnti di RMS supportano questa modalità, ad eccezione delle configurazioni BYOK che usano HSM. |
Sì |
| SMTP TLS con l'organizzazione partner | Exchange | TLS 1.2 con AES 256 | Il certificato TLS per Exchange (outlook.office.com) è un certificato SHA-256 a 2048 bit con certificato RSA Encryption emesso da DigiCert Servizi cloud CA-1. Il certificato radice TLS per Exchange è un certificato SHA-1 a 2048 bit con certificato di crittografia RSA emesso da GlobalSign Root CA - R1. Per motivi di sicurezza, i certificati cambiano di volta in volta. |
Sì, quando viene usato TLS 1.2 con crittografia a 256 bit. |
*I certificati TLS a cui si fa riferimento in questa tabella sono per i data center degli Stati Uniti; I data center non statunitensi usano anche certificati di SHA256RSA a 2048 bit.