Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ключ доступности — это корневой ключ, который автоматически создается и подготавливается при создании политики шифрования данных. Microsoft 365 сохраняет и защищает этот ключ.
Ключ доступности функционирует как два корневых ключа, которые вы предоставляете для ключа клиента. Он заключает ключи на один уровень ниже в иерархии ключей. В отличие от ключей, которыми вы управляете в Azure Key Vault, вы не можете напрямую получить доступ к ключу доступности. Автоматизированные службы Microsoft 365 управляют ею программным способом. Эти службы выполняют автоматические операции без прямого доступа к ключу.
Main целью ключа доступности является поддержка восстановления после неожиданной потери корневых ключей, которыми вы управляете. Эта потеря может быть результатом неправильного управления или вредоносных действий. Если вы потеряете контроль над корневыми ключами, обратитесь к служба поддержки Майкрософт за помощью в восстановлении с помощью ключа доступности. Используйте этот ключ для перехода на новую политику шифрования данных с новыми корневыми ключами, которые вы подготавливаете.
Ключ доступности отличается от ключей Azure Key Vault в хранилище и управлении по трем причинам:
- Он предоставляет возможность восстановления или "брейк-стекла" в случае потери обоих ключей Azure Key Vault.
- Разделение логического управления и расположения хранилища обеспечивает глубинную защиту и помогает защититься от полной потери ключей или данных из-за одной точки сбоя.
- Он поддерживает высокий уровень доступности, если Microsoft 365 не может связаться с Key Vault Azure из-за временных ошибок. Этот сценарий применяется только к шифрованию службы Exchange. SharePoint и OneDrive не используют ключ доступности, если вы явно не запрашиваете восстановление.
Корпорация Майкрософт несет ответственность за защиту данных с помощью многоуровневой защиты и процессов управления ключами. Такой подход снижает риск окончательной потери или уничтожения всех ключей и ваших данных. У вас есть исключительное право на отключение или уничтожение ключа доступности при выходе из службы. По замыслу никто в корпорации Майкрософт не может получить доступ к ключу доступности. Он доступен только по коду службы Microsoft 365.
Дополнительные сведения о том, как корпорация Майкрософт защищает ключи, см. в центре управления безопасностью Майкрософт.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Использование ключа доступности
Ключ доступности поддерживает восстановление в случаях, когда внешний злоумышленник или злоумышленник получает контроль над хранилищем ключей или когда неправильное управление приводит к потере корневых ключей. Эта возможность восстановления применяется ко всем службам Microsoft 365, поддерживающим ключ клиента.
Каждая служба использует ключ доступности по-разному. Microsoft 365 использует ключ доступности только в сценариях, описанных в следующих разделах.
Exchange
Помимо поддержки восстановления, Exchange использует ключ доступности для поддержания доступа к данным во время временных или периодических проблем, которые препятствуют получению службой корневых ключей в Azure Key Vault. Если служба не может получить доступ к ключу клиента из-за временной ошибки, она автоматически использует ключ доступности.
Служба не обращается к ключу доступности напрямую. Вместо этого автоматизированные системы в Exchange используют его как часть резервного процесса во время временных сбоев. Это использование поддерживает внутренние операции, такие как сканирование антивирусной защиты, обнаружение, Защита от потери данных Microsoft Purview, перемещение почтовых ящиков и индексирование данных.
SharePoint и OneDrive
В SharePoint и OneDrive ключ доступности используется только для сценариев восстановления. Он никогда не используется во время обычных операций.
Необходимо явно запросить использование ключа доступности корпорацией Майкрософт в событии восстановления. Автоматизированные операции службы зависят только от ключей клиентов в Azure Key Vault.
Дополнительные сведения об иерархии ключей и о том, как эти службы обрабатывают шифрование, см. в статье Использование ключа доступности в SharePoint и OneDrive.
Безопасность ключа доступности
Корпорация Майкрософт несет ответственность за защиту ваших данных, создавая ключ доступности и применяя строгие средства контроля для их защиты.
У клиентов нет прямого доступа к ключу доступности. Например, можно свернуть только ключи, которыми вы управляете в Azure Key Vault. Корпорация Майкрософт управляет ключом доступности с помощью кода автоматизированной службы, не предоставляя его пользователям.
Дополнительные сведения см. в статье Смена ключа клиента или ключа доступности.
Хранилища секретов ключей доступности
Корпорация Майкрософт защищает ключи доступности во внутренних хранилищах секретов, контролируемых доступом, аналогично Azure Key Vault. Элементы управления доступом не позволяют администраторам Майкрософт напрямую получать секреты, хранящиеся в ней. Все операции хранилища секретов, включая смену и удаление ключей, выполняются с помощью автоматических команд, которые не требуют прямого доступа к ключу доступности.
Операции управления в этих хранилищах секретов ограничены конкретными инженерами и требуют повышения привилегий с помощью внутреннего средства под названием Lockbox. Эскалация должна быть одобрена руководителем и содержать ведательное обоснование. Блокировка гарантирует, что доступ привязан к времени и автоматически отменяется по истечении срока действия или выходе инженера.
Ключи доступности Exchange хранятся в хранилище секретов Exchange Active Directory. Ключи хранятся в контейнерах конкретного клиента в контроллере домен Active Directory. Это расположение хранилища отделяется и изолировано от хранилища секретов, используемого SharePoint и OneDrive.
Ключи доступности SharePoint и OneDrive хранятся во внутреннем хранилище секретов, управляемом командой обслуживания. Это хранилище включает интерфейсные серверы, которые предоставляют конечные точки приложений и База данных SQL в качестве серверной части. Ключи доступности хранятся в базе данных и упаковываются с помощью ключей шифрования хранилища секретов.
Эти ключи шифрования используют AES-256 и HMAC для защиты неактивных ключей доступности. Ключи шифрования хранятся в логически изолированной части той же базы данных и дополнительно шифруются с помощью сертификатов RSA-2048, выданных центром сертификации Майкрософт (ЦС). Эти сертификаты хранятся на внешних серверах, обрабатывающих операции с базой данных.
Глубинная защита
Корпорация Майкрософт использует стратегию глубокой защиты, чтобы предотвратить компрометации злоумышленниками конфиденциальности, целостности или доступности данных клиентов, хранящихся в Microsoft Cloud. Для защиты хранилища секретов и ключа доступности в рамках этого многоуровневого подхода к безопасности применяются специальные профилактические и детективные средства контроля.
Microsoft 365 предназначен для предотвращения неправильного использования ключа доступности. Уровень приложения — это единственный интерфейс, который может использовать ключи, включая ключ доступности, для шифрования и расшифровки. Только код службы Microsoft 365 может интерпретировать и проходить по иерархии ключей. Логическая изоляция существует между расположениями хранения ключей клиентов, ключей доступности, других иерархических ключей и данных клиента. Такое разделение снижает риск раскрытия данных в случае компрометации любого расположения. Каждый уровень в иерархии ключей включает непрерывное обнаружение вторжений для защиты хранимых данных и секретов.
Средства управления доступом предотвращают несанкционированный доступ к внутренним системам, включая хранилища секретов ключей доступности. Инженеры Майкрософт не имеют прямого доступа к этим хранилищам. Дополнительные сведения см. в статье Управление административным доступом в Microsoft 365.
Технические средства управления также не позволяют сотрудникам Майкрософт входить в учетные записи служб с высоким уровнем привилегий, которые злоумышленники могли бы использовать для олицетворения служб Майкрософт. Эти элементы управления блокируют попытки интерактивного входа.
Ведение журнала и мониторинг безопасности — это другие меры безопасности в подходе Корпорации Майкрософт к глубокой защите. Команды служб развертывают решения для мониторинга, которые создают оповещения и журналы аудита. Все журналы отправляются в центральный репозиторий, где они агрегируются и анализируются. Внутренние средства автоматически оценивают эти записи, чтобы обеспечить безопасность, устойчивость и работу служб должным образом. Необычное действие помечается для проверки.
Любое событие, указывающее на потенциальное нарушение Политики безопасности Майкрософт, передается группам безопасности Майкрософт. Оповещения системы безопасности Microsoft 365 настраиваются для обнаружения попыток доступа к хранилищам ключей доступности и несанкционированных попыток входа в учетные записи обслуживания. Система также обнаруживает отклонения от ожидаемого базового поведения службы. Любая попытка неправильного использования служб Microsoft 365 вызывает оповещения и может привести к удалению нарушителя из среды Microsoft Cloud.
Использование ключа доступности для восстановления после потери ключа
Если вы потеряете контроль над ключами клиента, вы можете использовать ключ доступности для восстановления и повторного шифрования данных.
Процедура восстановления для Exchange
Если вы потеряете контроль над ключами клиента, с помощью ключа доступности можно восстановить данные и вернуть затронутые ресурсы Microsoft 365 в интернет. Ключ доступности продолжает защищать данные во время восстановления.
Чтобы полностью восстановиться после потери ключа:
- Создайте ключи клиента в Azure Key Vault.
- Создайте новую политику шифрования данных (DEP) с помощью новых ключей.
- Назначьте новый DEP почтовым ящикам, зашифрованным с помощью скомпрометированных или потерянных ключей.
Этот процесс повторного шифрования может занять до 72 часов, что является стандартной длительностью для изменения DEP.
Процедура восстановления для SharePoint и OneDrive
Для SharePoint и OneDrive ключ доступности используется только во время сценария восстановления. Необходимо явно попросить корпорацию Майкрософт активировать ключ доступности.
Чтобы начать процесс восстановления, обратитесь к служба поддержки Майкрософт. После активации ключ доступности автоматически расшифровывает данные, чтобы вы могли зашифровать их с помощью только что созданной политики шифрования данных (DEP) и новых ключей клиента.
Время восстановления зависит от количества сайтов в организации. Большинство клиентов возвращаются к сети в течение четырех часов после запроса активации ключа доступности.
Использование ключа доступности в Exchange
При создании политики шифрования данных (DEP) с ключом клиента Microsoft 365 создает ключ DEP, связанный с этой политикой. Служба шифрует ключ DEP три раза: один раз с каждым ключом клиента и один раз с ключом доступности. Сохраняются только зашифрованные версии ключа DEP. Ключ DEP можно расшифровать только с помощью одного из ключей клиента или ключа доступности.
Ключ DEP используется для шифрования ключей почтовых ящиков, которые, в свою очередь, шифруют отдельные почтовые ящики.
Microsoft 365 использует следующий процесс для расшифровки и предоставления доступа к данным почтового ящика:
- Расшифровка ключа DEP с помощью ключа клиента.
- Используйте расшифрованный ключ DEP для расшифровки ключа почтового ящика.
- Используйте расшифрованный ключ почтового ящика для расшифровки почтового ящика и предоставления доступа к данным.
Использование ключа доступности в SharePoint и OneDrive
Архитектура SharePoint и OneDrive для ключа клиента и ключа доступности отличается от Exchange.
Когда организация начинает использовать управляемые клиентом ключи, Microsoft 365 создает для конкретной организации промежуточный ключ клиента (TIK). Microsoft 365 шифрует ТИК дважды (один раз с каждым из ключей клиента) и сохраняет только зашифрованные версии. ТИК можно расшифровать только с помощью одного из ключей клиента. Затем TIK используется для шифрования ключей сайта, которые шифруют ключи BLOB-объектов (также называемые ключами блоков файлов). Для больших файлов служба может разделить их на несколько блоков, каждый из которых имеет уникальный ключ. Эти фрагменты файлов, или BLOB-объекты, шифруются с помощью ключей BLOB-объектов и хранятся в Хранилище BLOB-объектов Azure.
Microsoft 365 выполняет следующие действия для расшифровки файлов клиентов:
- Расшифровка TIK с помощью ключа клиента.
- Расшифровка ключа сайта с помощью расшифровки TIK.
- Используйте расшифрованный ключ сайта для расшифровки ключа BLOB-объекта.
- Расшифровка большого двоичного объекта используется для расшифровки большого двоичного объекта.
Чтобы повысить производительность, Microsoft 365 отправляет два запроса на расшифровку в Azure Key Vault немного смещение во времени. Какой бы запрос ни завершился первым, вы дается результат; другой отменяется.
Если вы потеряете доступ к ключам клиента, Microsoft 365 использует ключ доступности для расшифровки TIK. Корпорация Майкрософт шифрует каждую ТИК с помощью ключа доступности и сохраняет эту версию вместе с версиями, зашифрованными ключом клиента. Ключ доступности используется только в том случае, если вы обращаетесь в корпорацию Майкрософт для запуска восстановления.
Для масштабирования и надежности расшифрованные пакеты TIK кэшируются в памяти в течение ограниченного времени. Примерно за два часа до истечения срока действия кэшированного ТИК Microsoft 365 пытается расшифровать его снова, чтобы продлить время существования. Если этот процесс несколько раз завершается сбоем, Microsoft 365 создает оповещение о разработке до истечения срока действия кэша. Если требуется восстановление, корпорация Майкрософт расшифровывает ТИК с помощью ключа доступности, а затем повторно подключит клиент, используя расшифрованный ТИК и новый набор ключей клиента.
В настоящее время ключ клиента шифрует и расшифровывает данные файлов SharePoint в Хранилище BLOB-объектов Azure, но не содержит элементы списка или метаданные, хранящиеся в База данных SQL. Корпорация Майкрософт не использует ключ доступности для SharePoint или OneDrive, если вы явно не запрашиваете восстановление. Доступ человека к данным клиентов по-прежнему защищен с помощью клиентского хранилища.
Триггеры ключа доступности
Microsoft 365 активирует ключ доступности только в определенных обстоятельствах, и эти обстоятельства различаются в зависимости от службы.
Триггеры для Exchange
Microsoft 365 следует этому процессу при доступе к ключам клиента для почтового ящика:
Он считывает политику шифрования данных (DEP), назначенную почтовому ящику, для идентификации двух ключей клиента, хранящихся в Azure Key Vault.
Он случайным образом выбирает один из двух ключей и отправляет запрос в Azure Key Vault для распаковки ключа DEP.
Если этот запрос завершается ошибкой, он отправляет второй запрос с помощью альтернативного ключа.
Если оба запроса завершаются ошибкой, Microsoft 365 проверяет результаты и отвечает одним из двух способов:
Если оба запроса завершилось сбоем с системной ошибкой (например, Key Vault Azure недоступен или не может ответить):
Microsoft 365 использует ключ доступности для расшифровки ключа DEP.
Затем он использует ключ DEP для расшифровки ключа почтового ящика и выполнения запроса пользователя.
Если оба запроса завершилось ошибкой "отказано в доступе" (например, из-за преднамеренного, случайного или вредоносного удаления ключа, в том числе во время очистки данных):
Microsoft 365 не активирует ключ доступности для действий пользователя.
Запрос пользователя завершается сбоем и возвращает сообщение об ошибке.
Важно!
Код службы Microsoft 365 всегда поддерживает действительный маркер входа для обработки и обработки данных клиента для поддержки основных облачных служб. По этой причине, пока ключ доступности не будет удален, внутренние операции Exchange (например, перемещение почтовых ящиков или создание индекса) по-прежнему могут использовать ключ доступности в качестве резервного варианта, если оба ключа клиента недоступны, независимо от того, был ли сбой вызван системной ошибкой или ответом на отказ в доступе.
Триггеры для SharePoint и OneDrive
Для SharePoint и OneDrive Microsoft 365 никогда не использует ключ доступности, если вы не используете сценарий восстановления. Чтобы начать процесс восстановления, необходимо обратиться в корпорацию Майкрософт и явно запросить использование ключа доступности.
Журналы аудита и ключ доступности
Автоматизированные системы в Microsoft 365 обрабатывают данные по мере их прохождения через службу. Эти системы поддерживают такие функции, как антивирусная программа, обнаружение электронных данных, защита от потери данных и индексирование. Microsoft 365 не создает журналы, видимые клиентам для этого фонового действия. Кроме того, сотрудники Майкрософт не получают доступ к вашим данным во время обычных системных операций.
Ведение журнала ключа доступности Exchange
Когда Exchange обращается к ключу доступности для предоставления службы, Microsoft 365 создает журналы, видимые для клиентов. Доступ к этим журналам можно получить на портале Microsoft Purview. Каждый раз, когда служба использует ключ доступности, она создает запись журнала аудита.
В этой записи используется новый тип записи под названием Шифрование службы ключей клиента с типом действия "Откат на ключ доступности". Эти метки помогают администраторам фильтровать результаты поиска в едином журнале аудита для поиска записей ключей доступности.
Записи журнала включают дату, время, действие, идентификатор организации и идентификатор политики шифрования данных. Эти записи являются частью единого журнала аудита и отображаются на вкладке Поиск по журналам аудита на портале Microsoft Purview.
Записи ключей доступности Exchange соответствуют общей схеме действий управления Microsoft 365. Они также включают пользовательские параметры: идентификатор политики, идентификатор версии ключа области и идентификатор запроса.
Ведение журнала ключей доступности SharePoint и OneDrive
Ведение журнала ключей доступности пока недоступно для SharePoint или OneDrive. Корпорация Майкрософт активирует ключ доступности только для восстановления, когда вы запрашиваете его. Из-за этого вы уже знаете каждое событие, когда ключ доступности используется для этих служб.
Ключ доступности в иерархии ключей клиента
Microsoft 365 использует ключ доступности для переноса уровня ключей под ним в иерархию шифрования ключей клиента. Каждая служба имеет разную иерархию ключей. Алгоритмы ключей также различаются между ключами доступности и другими ключами в иерархии.
Алгоритмы ключа доступности, используемые каждой службой:
- Ключи доступности Exchange используют AES-256.
- Ключи доступности SharePoint и OneDrive используют RSA-2048.
Шифры шифрования, используемые для шифрования ключей для Exchange
Шифры шифрования, используемые для шифрования ключей для SharePoint
