Compartilhar via

Encriptação de dados no OneDrive e sharePoint

  • Artigo

Compreenda os elementos básicos da encriptação para segurança de dados no OneDrive e no SharePoint.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Encriptação de dados e segurança no Microsoft 365

O Microsoft 365 é um ambiente altamente seguro que oferece proteção extensiva em várias camadas: segurança de datacenters físicos, segurança de rede, segurança de acesso, segurança de aplicações e segurança de dados. Este artigo foca-se especificamente no lado de encriptação in-transit e inativo da segurança de dados para o OneDrive e o SharePoint.

Assista ao vídeo a seguir para ver como funciona a criptografia de dados.

Criptografia de dados em trânsito

No OneDrive e no SharePoint, existem dois cenários em que os dados entram e saem dos datacenters.

  • Comunicação do cliente com o servidor A comunicação com o OneDrive através da Internet utiliza ligações SSL/TLS. Todas as ligações TLS são estabelecidas com chaves de 2048 bits.

  • Movimento de dados entre datacenters A principal razão para mover dados entre datacenters é a georreplicação para permitir a recuperação após desastre. Por exemplo, os logs de transação e os deltas de armazenamento de blobs do SQL Server passam por esse pipe. Embora estes dados já sejam transmitidos através de uma rede privada, estão ainda mais protegidos com a melhor encriptação de classe.

Criptografia de dados em repouso

A criptografia em repouso inclui dois componentes: Criptografia BitLocker no nível do disco e criptografia por arquivo de conteúdo do cliente.

O BitLocker é implementado para o OneDrive e o SharePoint em todo o serviço. A encriptação por ficheiro também está no OneDrive e no SharePoint em ambientes multi-inquilino do Microsoft 365 e novos ambientes dedicados baseados em tecnologia multi-inquilino.

Enquanto o BitLocker criptografa todos os dados no disco, a criptografia por arquivo vai ainda mais longe e inclui uma chave de criptografia exclusiva para cada arquivo. Além disso, as atualizações de cada arquivo são criptografadas com uma chave de criptografia própria. As chaves do conteúdo encriptado são armazenadas numa localização fisicamente separada do conteúdo. Todas as etapas dessa criptografia usam a criptografia AES com chaves de 256 bits e estão em conformidade com o padrão FIPS 140-2. O conteúdo encriptado é distribuído por vários contentores em todo o datacenter e cada contentor tem credenciais exclusivas. Essas credenciais são armazenadas em um local físico separado do conteúdo e das chaves de conteúdo.

Para obter mais informações sobre a conformidade FIPS 140-2, consulte Conformidade FIPS 140-2.

A encriptação ao nível do ficheiro inativo tira partido do armazenamento de blobs para proporcionar o crescimento do armazenamento e para permitir uma proteção sem precedentes. Todos os conteúdos dos clientes no OneDrive e no SharePoint são migrados para o armazenamento de blobs. Veja como esses dados são protegidos:

  1. Todo o conteúdo é encriptado, potencialmente com várias chaves e distribuído pelo datacenter. Cada ficheiro a armazenar é dividido em um ou mais segmentos, consoante o respetivo tamanho. Em seguida, cada parte é criptografada por meio de uma chave própria exclusiva. As atualizações são tratadas da mesma maneira: o conjunto de alterações ou deltas enviados por um usuário é dividido em partes ,e cada uma delas é criptografada com uma chave própria.

  2. Todas as partes (arquivos, partes de arquivos e deltas de atualização) são armazenadas em blobs na nossa BLOB Store. Além disso, elas são distribuídas aleatoriamente em vários contêineres de blob.

  3. O "mapa" utilizado para voltar a montar o ficheiro a partir dos respetivos componentes é armazenado na Base de Dados de Conteúdos.

  4. Cada contêiner de blob tem credenciais próprias e exclusivas por tipo de acesso: leitura, gravação, enumeração e exclusão. Cada conjunto de credenciais é mantido no Repositório de Chaves seguro e atualizado regularmente.

Ou seja, há três tipos diferentes de armazenamento envolvidos na criptografia por arquivo em repouso, cada um deles com uma função distinta:

  • o conteúdo é armazenado como blobs criptografados na BLOB Store. A chave de cada parte do conteúdo é criptografada e armazenada separadamente no banco de dados de conteúdo. O conteúdo em si não inclui nenhuma pista sobre como descriptografá-lo.

  • O banco de dados de conteúdo é um banco de dados do SQL Server. Contém o mapa necessário para localizar e voltar a montar todos os blobs de conteúdo contidos no arquivo de blobs e as chaves necessárias para desencriptar esses blobs.

Todos os três componentes de armazenamento (a BLOB store, o banco de dados de conteúdo e o repositório de chaves) são fisicamente separados. As informações contidas nesses componentes por si só não são utilizáveis. Esta estratégia fornece um nível de segurança sem precedentes. Sem acesso aos três, é impossível obter as chaves dos segmentos, desencriptar as chaves para as tornar utilizáveis, associar as chaves aos segmentos correspondentes, desencriptar qualquer segmento ou reconstruir um documento a partir dos seus segmentos constituintes.