Odporúčania pre šifrovanie údajov
Vzťahuje sa na Power Platform odporúčanie dobre zostaveného kontrolného zoznamu zabezpečenia:
| SE:06 | Šifrujte údaje pomocou moderných štandardných metód na ochranu dôvernosti a integrity. Zosúladiť rozsah šifrovania s klasifikáciou údajov; uprednostniť metódy šifrovania natívnej platformy. |
|---|
Ak vaše údaje nie sú chránené, môžu byť úmyselne upravené, čo vedie k strate integrity a dôvernosti.
Táto príručka popisuje odporúčania na šifrovanie a ochranu vašich údajov. Šifrovanie je proces používania kryptografických algoritmov na premenenie údajov na nečitateľné a uzamknutie údajov pomocou kľúča. V zašifrovanom stave nie je možné dáta dešifrovať. Dá sa dešifrovať iba pomocou kľúča, ktorý je spárovaný so šifrovacím kľúčom.
Definície
| Termíny | Definícia |
|---|---|
| Certifikáty | Digitálne súbory, ktoré obsahujú verejné kľúče na šifrovanie alebo dešifrovanie. |
| Dešifrovanie | Proces, pri ktorom sa zašifrované údaje odomknú pomocou tajného kódu. |
| Šifrovanie | Proces, pri ktorom sú údaje nečitateľné a uzamknuté tajným kódom. |
| Kľúče | Tajný kód používaný na uzamknutie alebo odomknutie šifrovaných údajov. |
Kľúčové dizajnové stratégie
Organizačné mandáty alebo regulačné požiadavky môžu presadzovať šifrovacie mechanizmy. Napríklad môže existovať požiadavka, že údaje musia zostať iba vo vybratej oblasti a že kópie údajov sa uchovávajú v tejto oblasti.
Tieto požiadavky sú často základným minimom. Usilujte sa o vyššiu úroveň ochrany. Zodpovedáte za zabránenie úniku dôverných informácií a manipulácii s citlivými údajmi, či už ide o údaje externých používateľov alebo údaje zamestnancov.
Dáta sú najcennejším a nenahraditeľným aktívom organizácie a šifrovanie slúži ako posledná a najsilnejšia línia obrany vo viacvrstvovej stratégii zabezpečenia údajov. Firemné cloudové služby a produkty spoločnosti Microsoft používajú šifrovanie na ochranu údajov zákazníkov a pomáhajú vám nad nimi udržiavať kontrolu.
Scenáre šifrovania
Šifrovacie mechanizmy budú pravdepodobne musieť zabezpečiť údaje v troch fázach:
Údaje v pokoji sú všetky informácie, ktoré sú uložené v objektoch úložiska. V predvolenom nastavení Microsoft ukladá a spravuje šifrovací kľúč databázy pre vaše prostredia pomocou kľúča spravovaného spoločnosťou Microsoft. Avšak Power Platform poskytuje šifrovací kľúč spravovaný zákazníkom (CMK) na pridanú kontrolu ochrany údajov, kde si môžete sami spravovať šifrovací kľúč databázy.
Údaje v spracovaní sú údaje, ktoré sa používajú ako súčasť interaktívneho scenára alebo keď sa ich dotkne proces na pozadí, napríklad obnovenie. Power Platform načíta údaje pri spracovaní do pamäťového priestoru jedného alebo viacerých servisných pracovných zaťažení. Aby sa uľahčila funkčnosť pracovného zaťaženia, údaje uložené v pamäti nie sú šifrované.
Dáta v prenose sú informácie, ktoré sa prenášajú medzi komponentmi, miestami alebo programami. Azure používa priemyselné štandardné transportné protokoly, ako napríklad Transport vrstva Security (TLS) medzi používateľskými zariadeniami a Microsoft dátovými centrami av rámci samotných dátových centier.
Natívne šifrovacie mechanizmy
V predvolenom nastavení Microsoft ukladá a spravuje šifrovací kľúč databázy pre vaše prostredia pomocou kľúča spravovaného spoločnosťou Microsoft. Avšak Power Platform poskytuje zákazníkom spravovaný šifrovací kľúč (CMK) na pridanú kontrolu ochrany údajov, kde si môžete sami spravovať šifrovací kľúč databázy. Šifrovací kľúč sa nachádza vo vašom vlastnom Azure trezore kľúčov, ktorý vám umožňuje na požiadanie otočiť alebo vymeniť šifrovací kľúč. Umožňuje vám tiež zabrániť prístupu Microsoft k vašim zákazníckym údajom, keď kedykoľvek odvoláte kľúčový prístup k našim službám.
Šifrovacie kľúče
Služby Power Platform štandardne používajú na šifrovanie a dešifrovanie údajov šifrovacie kľúče spravované spoločnosťou Microsoft. Azure je zodpovedný za správu kľúčov.
Môžete sa rozhodnúť pre kľúče spravované zákazníkom. Power Platform stále používa vaše kľúče, ale za kľúčové operácie zodpovedáte vy.
Power Platform uľahčenie
Nasledujúce časti popisujú Power Platform funkcie a možnosti, ktoré môžete použiť na šifrovanie údajov.
Kľúč spravovaný zákazníkom
Všetky údaje o zákazníkoch uložené v Power Platform sú v predvolenom nastavení šifrované pomocou silného šifrovacieho kľúča spravovaného spoločnosťou Microsoft. Organizácie s požiadavkami na ochranu údajov a súlad s požiadavkami na zabezpečenie svojich údajov a správu vlastných kľúčov môžu využívať schopnosť kľúča spravovaného zákazníkom. Kľúč spravovaný zákazníkom poskytuje dodatočnú ochranu údajov, kde si sami spravujete kľúč na šifrovanie údajov priradený k vášmu Dataverse prostrediu. Pomocou tejto funkcie môžete na požiadanie otáčať alebo vymieňať šifrovacie kľúče. Zabraňuje tiež Microsoft v prístupe k vašim údajom, keď odvoláte kľúč zo služby. Ďalšie informácie nájdete v časti Správa šifrovacieho kľúča spravovaného zákazníkom.
Umiestnenie údajov
Nájomník Azure Active Directory (Azure AD) obsahuje informácie, ktoré sú dôležité pre organizáciu a jej bezpečnosť. Keď sa nájomník Azure AD zaregistruje do služieb Power Platform, krajina alebo región vybrané nájomníkom sa namapujú na najvhodnejšiu geografickú oblasť Azure, kde existuje nasadenie Power Platform. Power Platform ukladá údaje o zákazníkoch v geografickej oblasti Azure pridelenej nájomníkovi alebo v domovskej geografickej oblasti, okrem prípadov, keď organizácie nasadzujú služby vo viacerých regiónoch.
Služby Power Platform sú dostupné v konkrétnych geografických oblastiach Azure. Ďalšie informácie o tom, kde Power Platform sú dostupné služby, kde sú uložené vaše údaje a ako sa používajú, nájdete v Microsoft Trust Center. Záväzky týkajúce sa umiestnenia neaktívnych uložených údajov zákazníkov sú špecifikované v podmienkach spracovania údajov v rámci podmienok poskytovania online služieb spoločnosti Microsoft. Microsoft poskytuje aj dátové centrá pre suverénne subjekty.
Prístup k Copilot Studio generatívnym funkciám AI z regiónov mimo Spojených štátov má za následok pohyb údajov cez regionálne hranice. Tento presun údajov je možné povoliť a zakázať v Power Platform. Ďalšie informácie nájdete v článku Regióny, ktoré sa zaoberajú kopilotmi a generatívnymi funkciami AI. Rezidencia geografických údajov v Microsoft Copilot Studio poskytuje robustný rámec na zaistenie bezpečnosti údajov a súladu s miestnymi predpismi. Okrem vlastných natívnych bezpečnostných funkcií Copilot Studio využíva infraštruktúru Azure na poskytovanie bezpečných a vyhovujúcich možností uloženia údajov. Prečítajte si viac o umiestnení údajov a Copilot Studio v Rezidentnosti pre geografické údaje v Copilot Studio a Bezpečnosť a sídlo pre geografické údaje v Copilot Studio.
Neaktívne uložené údaje
Pokiaľ nie je v dokumentácii uvedené inak, údaje o zákazníkoch zostávajú v pôvodnom zdroji (napríklad Dataverse alebo SharePoint). Všetky údaje uložené v Power Platform sú predvolene šifrované pomocou kľúčov spravovaných spoločnosťou Microsoft.
Spracúvané údaje
Údaje sa spracúvajú, keď sa používajú ako súčasť interaktívneho scenára alebo keď sa ich dotkne proces na pozadí, napríklad obnovenie. Power Platform načíta údaje pri spracovaní do pamäťového priestoru jedného alebo viacerých servisných pracovných zaťažení. Aby sa uľahčila funkčnosť pracovného zaťaženia, údaje uložené v pamäti nie sú šifrované.
Údaje v prenose
Power Platform vyžaduje, aby bol všetok prichádzajúci prenos HTTP šifrovaný pomocou TLS 1.2 alebo vyššej verzie. Žiadosti, ktoré sa pokúšajú použiť TLS 1.1 alebo nižšiu verziu, sú zamietnuté.
Ďalšie informácie nájdete v časti O šifrovaní údajov v Power Platform a Ukladaní a správe údajov v Power Platform.
Súvisiace informácie
- O šifrovaní údajov
- Ukladanie dát a správa v Power Platform
- Power Platform často kladené otázky o bezpečnosti
- Spravujte svoj zákaznícky spravovaný šifrovací kľúč
Kontrolný zoznam zabezpečenia
Pozrite si úplný súbor odporúčaní.