微软发布 Double Key Encryption 新特征

  • 来源:网络
  • 更新日期:2020-07-22

摘要:7 月 21 日,微软官方发布了 Microsoft 365 新的安全特征的首次公开预览版—— Double Key Encryption(双密钥加密)。微软称,双密钥加密可以在完全控制加密密钥的同时来保护高度

7 月 21 日,微软官方发布了 Microsoft 365 新的安全特征的首次公开预览版—— Double Key Encryption(双密钥加密)。

微软称,双密钥加密可以在完全控制加密密钥的同时来保护高度敏感的数据。顾名思义,双密钥加密使用了 2 个密钥来保护数据,其中一个密钥是用户控制的,另一个密钥安全地保存在 Microsoft Azure 中。

要访问双密钥加密保护的数据需要有 2 个密钥的访问权限。因为微软只能访问其中 1 个密钥,因此受保护的数据对微软来说是不可访问的,使得可以完全控制数据的隐私和安全。

微软称该新特征是为受到特殊监管的行业设计的,比如金融服务行业、医疗行业、以及那些需要将敏感数据安全地存储到云端的企业,比如商业秘密、专利、金融算法、用户数据等。这些敏感数据必须要最高等级的保护才能满足监管需求和内部协议。

下面是 2 个双重密钥加密的场景示例:

场景 1:敏感的知识产权

Contoso 公司想要将其敏感数据迁移到云端,但在迁移到云端的过程中一些市场领先的药物配方需要保证机密性和安全。使用云服务商提供的密钥来加密数据还不能达到 Contoso 的安全保证的要求,因为云服务提供商可能会授权第三方来访问数据,运营者也可能会解密敏感数据(比如在技术支持的过程中)。在这种情况下,Contoso 可以用自己的密钥来加密敏感数据内容,然后再用云服务商的密钥进行二次加密。

场景 2:监管环境

某政府机构想要通过云平台与合作供应商分享一些机密信息。根据监管政府数据政策,政府机构需要确保这些信息对第三方是不可见的。政府机构可以用 Double Key Encryption 加密内容,然后通过云平台分享加密后的数据,这样既可以确保云服务无法访问内容,但特定的接收者可以访问。

Double Key Encryption 也融入了 Azure Information Protection 统一标记能力,确保了租户可以创建多个 DKE 标签,用不同的加密密钥来保护数据,根据用户权限来设置和应用不同的组策略和访问限制。

图 1 在 office 365 中用 Double Key Encryption 创建标签

一旦应用了标签,用户就可以对任意文档进行激活,在 office 365 账号内自动加密和保护文件。

图 2 用 Double Key Encryption 在 Word 中进行标记

更多技术细节参见:https://docs.microsoft.com/zh-cn/microsoft-365/compliance/double-key-encryption?view=o365-worldwide

代码参见 GitHub 页面:https://github.com/Azure-Samples/DoubleKeyEncryptionService