Recomanacions per a l'encriptació de dades
S'aplica a la recomanació de Power Platform la llista de verificació de seguretat ben arquitectada:
| SE:06 | Xifreu les dades mitjançant mètodes moderns estàndard del sector per protegir la confidencialitat i la integritat. Alinea l'abast del xifratge amb les classificacions de dades; Prioritzeu els mètodes de xifratge natius de la plataforma. |
|---|
Si les vostres dades no estan protegides, es poden modificar maliciosament, cosa que comporta una pèrdua d'integritat i confidencialitat.
Aquesta guia descriu les recomanacions per xifrar i protegir les vostres dades. El xifratge és el procés d'utilitzar algorismes de criptografia per fer que les dades siguin il·legibles i bloquejar-les amb una clau. En estat xifrat, les dades no es poden desxifrar. Només es pot desxifrar mitjançant una clau que estigui aparellada amb la clau de xifratge.
Definicions
| Condicions | Definició |
|---|---|
| Certificats | Fitxers digitals que contenen les claus públiques per a l'encriptació o el desxifrat. |
| Desxifratge | El procés en què les dades xifrades es desbloquegen amb un codi secret. |
| Xifratge | El procés pel qual les dades es fan il·legibles i es bloquegen amb un codi secret. |
| Claus | Un codi secret que s'utilitza per bloquejar o desbloquejar dades xifrades. |
Estratègies clau de disseny
Els mandats organitzatius o els requisits normatius poden aplicar mecanismes de xifratge. Per exemple, pot haver-hi un requisit que les dades només es mantinguin a la regió seleccionada i que les còpies de les dades es mantinguin en aquesta regió.
Aquests requisits solen ser el mínim bàsic. Esforça't per aconseguir un nivell més alt de protecció. Sou responsable d'evitar filtracions de confidencialitat i manipulació de dades sensibles, ja siguin dades d'usuaris externs o dades d'empleats.
Les dades són l'actiu més valuós i insubstituïble d'una organització, i el xifratge serveix com a última i més forta línia de defensa en una estratègia de seguretat de dades de múltiples capes. Els serveis i els productes al núvol per a empreses de Microsoft utilitzen l'encriptació per protegir les dades dels clients i us ajuden a mantenir-ne el control.
Escenaris d'encriptació
És probable que els mecanismes d'encriptació hagin de protegir les dades en tres etapes:
Les dades en repòs són tota la informació que es guarda en objectes d'emmagatzematge. Per defecte, Microsoft emmagatzema i administra la clau de xifratge de la base de dades per als vostres entorns mitjançant una clau administrada per Microsoft. No obstant això, Power Platform proporciona una clau de xifratge gestionada pel client (CMK) per a un control addicional de protecció de dades, on podeu autogestionar la clau de xifratge de la base de dades.
Les dades en processament són dades que s'utilitzen com a part d'un escenari interactiu o quan un procés en segon pla, com ara una actualització, les toca. El Power Platform carrega les dades en tractament a l'espai de memòria d'una o més càrregues de treball de servei. Per facilitar la funcionalitat de la càrrega de treball, les dades emmagatzemades a la memòria no s'encripten.
Les dades en trànsit són informació que es transfereix entre components, ubicacions o programes. Azure utilitza protocols de transport estàndard de la indústria com Transport capa Security (TLS) entre els dispositius dels usuaris i els centres de dades Microsoft, i dins dels mateixos centres de dades.
Mecanismes d'encriptació natius
Per defecte, Microsoft emmagatzema i administra la clau de xifratge de la base de dades per als vostres entorns mitjançant una clau administrada per Microsoft. No obstant això, Power Platform proporciona una clau de xifratge gestionada pel client (CMK) per a un control addicional de protecció de dades, on podeu autogestionar la clau de xifratge de la base de dades. La clau de xifratge resideix a la vostra pròpia volta de claus Azure, que us permet girar o intercanviar la clau de xifratge sota demanda. També et permet impedir l'accés de Microsoft a les teves dades de client quan revoques l'accés clau als nostres serveis en qualsevol moment.
Claus d'encriptació
Per defecte, Power Platform els serveis utilitzen claus de xifratge administrades per Microsoft per xifrar i desxifrar dades. Azure és responsable de la gestió de claus.
Podeu optar per claus gestionades pel client. Power Platform encara utilitza les vostres claus, però sou responsable de les operacions clau.
Power Platform facilitació
Les seccions següents descriuen Power Platform les característiques i capacitats que podeu utilitzar per xifrar les dades.
Clau administrada pel client
Totes les dades del client emmagatzemades es Power Platform xifren mitjançant una clau de xifratge segura administrada per Microsoft per defecte. Les organitzacions amb requisits de privadesa i compliment de dades per protegir les seves dades i gestionar les seves pròpies claus poden utilitzar la capacitat de clau gestionada pel client. La clau gestionada pel client proporciona protecció de dades addicional on autogestioneu la clau de xifratge de dades associada al vostre Dataverse entorn. L'ús d'aquesta capacitat us permet girar o intercanviar claus de xifratge sota demanda. A més, impedeix que Microsoft pugui accedir a les vostres dades quan revoqueu la clau del servei. Per obtenir més informació, vegeu Administrar la clau de xifratge gestionada pel client.
Residència de dades
Un inquilí de l'Azure Active Directory (Azure AD) allotja informació que és rellevant per a una organització i la seva seguretat. Quan un inquilí de l'Azure AD inicia la sessió als serveis del Power Platform, el país o la regió seleccionats de l'inquilí s'assignen a la geografia de l'Azure més adequada on existeixi una implementació del Power Platform. El Power Platform emmagatzema les dades del client a la geografia de l'Azure assignada a l'inquilí, o ubicació geogràfica, excepte quan les organitzacions implementen serveis a diverses regions.
Els serveis del Power Platform estan disponibles a geografies específiques de l'Azure. Per obtenir més informació sobre on Power Platform estan disponibles els serveis, on s'emmagatzemen les dades i com s'utilitzen, vegeu Microsoft Centre de confiança. Els compromisos sobre la ubicació de les dades de client en repòs s'especifiquen a les Condicions de tractament de dades de les Condicions del Microsoft Online Services. Microsoft també proporciona centres de dades per a entitats sobiranes.
L'accés a Copilot Studio funcions d'IA generativa des de regions fora dels Estats Units provoca el moviment de dades a través de les fronteres regionals. Aquest moviment de dades es pot habilitar i desactivar. Power Platform Obteniu més informació a Regions implicades amb copilots i funcions d'IA generativa. La residència de dades geogràfiques proporciona Microsoft Copilot Studio un marc sòlid per garantir la seguretat de les dades i el compliment de les regulacions locals. A més de les seves pròpies funcions de seguretat natives, Copilot Studio aprofita la infraestructura Azure per oferir opcions de residència de dades segures i compatibles. Obteniu més informació sobre la residència de dades i Copilot Studio a Residència de dades geogràfiques a Copilot Studio i Seguretat i residència de dades geogràfiques a Copilot Studio.
Dades en repòs
Sempre que no s'especifiqui el contrari a la documentació, les dades dels clients es conserven a la seva font original (per exemple, Dataverse o SharePoint). Totes les dades conservades pel Power Platform estan encriptades per defecte amb les tecles administrades per Microsoft.
Dades en tractament
Les dades estan en procés de tractament quan s'utilitzen com a part d'un escenari interactiu o quan un procés en segon terme, com ara una actualització, la toca aquestes dades. El Power Platform carrega les dades en tractament a l'espai de memòria d'una o més càrregues de treball de servei. Per facilitar la funcionalitat de la càrrega de treball, les dades emmagatzemades a la memòria no s'encripten.
Dades en trànsit
El Power Platform requereix que s'encripti tot el trànsit HTTP entrant amb TLS 1.2 o superior. Les sol·licituds que intenten utilitzar TLS 1.1 o inferior es rebutgen.
Per obtenir més informació, vegeu Sobre el xifratge de dades a Power Platform i Emmagatzematge i governança de dades a Power Platform.
Informació relacionada
- Sobre l'encriptació de dades
- Emmagatzematge i governança de dades en Power Platform
- Power Platform Preguntes freqüents sobre seguretat
- Administrar la clau de xifratge gestionada pel client
Llista de comprovació de seguretat
Consulteu el conjunt complet de recomanacions.