透過雲端加密保護您的 Microsoft 365 備份

Microsoft 365 是一款廣泛使用的通訊與協作雲端平台。Office 365 使用者資料可能包含敏感資訊,因此必須加以保護,以防資料外洩與洩漏。

Office 365 加密功能用於保護 Microsoft 雲端中的使用者資料,以及在與 Microsoft 伺服器通訊時的資料安全。這篇部落格文章將說明 Microsoft 365 加密功能及其各種使用情境,包括如何為 Microsoft 365 備份設定加密。

Microsoft 365 資料備份

使用 NAKIVO 解決方案備份 Exchange Online、Teams、OneDrive 及 SharePoint Online 中的 Microsoft 365 資料,確保工作流程不中斷且零停機時間。

探索解決方案

什麼是 Office 365 加密功能？

加密是一種資料安全機制,其運作原理是將資料從可讀格式(稱為明文)轉換為不可讀格式(稱為密文)。這種資料轉換是透過加密演算法和加密金鑰來實現的。金鑰是一組特定資訊,用以決定資料的混淆方式。只有擁有正確解密金鑰的使用者才能逆轉此過程,將密文轉換回原始的明文形式。

加密過程始於明文,即原始的可讀資料。進行加密時,演算法會利用加密金鑰將此明文轉換為密文。此密文是以隨機字元組合產生,若無對應的解密金鑰則無法理解。加密強度取決於多個因素,包括演算法的複雜度與金鑰長度,通常金鑰越長,加密強度越高。

在 Microsoft 365 中,加密對於保護資料扮演著關鍵角色,特別是在雲端環境中,資料經常透過網際網路進行儲存、處理和傳輸。當資料經過加密後,即使未經授權的個人或惡意行為者攔截了資料,若沒有解密金鑰,他們也無法讀取或濫用這些資料。這對於保護email、文件和個人資料等敏感資訊免於外洩和資料外洩至關重要。

加密在 Microsoft 365 及雲端環境中至關重要,因為它提供了強大的安全防護層,並確保資料隱私與法規遵循。它有助於組織保護其敏感資訊、遵守與資料保護相關的法律需求,並維持客戶的信任。

Microsoft 365 的加密功能是如何運作的？

Microsoft 365 內的加密流程發生在多個階段:

• 當資料從使用者的裝置傳輸至 Microsoft 雲伺服器時,資料在透過網際網路傳輸的過程中,會使用 TLS(傳輸層安全性)等協定進行加密。這確保了傳輸過程中任何遭攔截的資料仍能保持安全。
• 資料一經傳送至 Microsoft 資料中心,便會使用 AES-256 等強效加密演算法進行靜態加密。這意味著即使存放資料的實體儲存裝置遭到入侵,資料本身仍能受到保護。

• 靜態資料(例如儲存於 Exchange Online 信箱、OneDrive for Business 及 SharePoint Online 中的檔案)會透過 BitLocker 進行加密,此技術可確保伺服器上的整個磁碟區受到保護。
• 此外,個別檔案會透過"單一檔案加密"進行加密,採用 Azure 儲存服務加密 (SSE) 搭配 256 位元 AES 加密,這是目前最安全的加密演算法之一。
• Microsoft 365 中的 email 加密功能(特別是在 Exchange Online 中)是透過 Office 訊息加密 (OME) 來管理。此功能可利用 S/MIME(安全/多功能網際網路郵件擴充功能)和 IRM(資訊權限管理)等加密技術來加密和保護 email,同時也能實現資料存取控制。您可進一步了解 Microsoft 365 訊息加密 在我們的貼文中。
• 此外,客戶自控加密功能讓組織能夠使用透過 Azure Key Vault 管理的自有加密金鑰,從而提供額外的控制層級與安全性。

系統管理員可運用各種工具和儀表板來管理及監控加密設定。管理員可以使用 Microsoft 365 安全性 & 合規中心與 Microsoft 365 管理中心 以設定加密政策、管理客戶金鑰,並監控組織內與加密相關的活動。

此外,微軟定期發布透明度報告,並持有相關合規認證,讓系統管理員能確信其加密實務符合全球標準。這些認證包括 ISO 27001、SOC 1、SOC 2 以及 符合《一般資料保護條例》(GDPR).

Microsoft 365 加密更新

2023 年 Microsoft 365 導入 AES-256 CBC(密碼區塊鏈模式)標誌著資料加密技術的重大提升。AES-256 是一項強健的加密標準,而採用 CBC 模式透過將每個密文區塊與前一個區塊串聯起來,增添了額外的複雜性與安全性,有助於防範特定類型的加密攻擊。

對於系統管理員而言,此項轉換需要仔細檢視現有的資料加密政策,以驗證並確保其加密管理與監控工具能夠處理更新後的加密標準。管理員必須確認任何自訂加密金鑰或政策是否與新的 AES-256 CBC 模式相容,以避免潛在的衝突或問題。

Microsoft 提供了文件和工具來協助此過程,確保管理員無需大量手動干預即可維持合規性與安全性。 微軟確保此變更對多數使用者而言無縫銜接,對現有設定的影響極小。此次更新採用的方式,是在不中斷 Microsoft 365 存取或功能性情況下,將現有資料重新以 AES-256 CBC 模式進行加密。

Microsoft Office 2013、2016、2019 及 2021 的應用程式應透過 Windows 中的群組原則或 Microsoft 365 中的雲端原則,重新設定為使用 AES256-CBC 模式。自 Microsoft 365 應用程式版本 16.0.16327 起,預設即採用 AES256-CBC 模式。

若使用 Microsoft Exchange Server,管理員應安裝一個 hotfix. 若將 Azure 權限管理連接器服務與 Exchange Server 搭配使用,則建議管理員執行 GenConnectorConfig.ps1 此腳本由 Microsoft 提供,並安裝於每台 Exchange 伺服器上。

靜態資料與傳輸中資料的加密

對靜止資料和傳輸中資料的加密是 Microsoft 365 的一項基本安全措施,旨在保護敏感資訊免遭未經授權的存取和資料外洩。讓我們來詳細說明在 Microsoft 365 環境中,這兩種情境下加密是如何被應用的。

靜止資料

靜止資料是指儲存於實體媒介(例如硬碟或雲端儲存服務)上的資訊,且未透過網路進行主動傳輸。在 Microsoft 365 中,靜止資料會經過加密處理,以確保即使實體儲存裝置遭到入侵,資料仍能受到保護。

Microsoft 365 中靜止資料加密的範例包括:

• SharePoint 和 OneDrive 上的檔案. 當使用者將檔案儲存至 SharePoint Online 或 OneDrive for Business 時,這些檔案會透過 Azure 儲存體服務加密 (SSE) 進行加密。Microsoft 365 採用強效的加密標準 AES-256 來加密每個檔案,確保檔案在伺服器上保持安全。此外,系統還會使用 BitLocker 來加密存放資料的整個磁碟,提供額外的保護層。
• Exchange Online 中的 email. 儲存於 Exchange Online 信箱中的 email,是透過 BitLocker 與 AES-256 檔案級加密技術的組合來進行加密。這意味著整個信箱資料庫皆經過加密,且每封 email 訊息也皆獨立加密,以確保儲存的 email 安全無虞。

傳輸中的資料

傳輸中的資料是指正在透過網路主動傳輸的資訊,例如在用戶裝置與 Microsoft 伺服器之間,或 Microsoft 資料中心之間傳送的資料。傳輸中的加密可保護這些資料,使其在傳輸過程中不會遭到攔截或篡改。

Microsoft 365 中傳輸中資料加密的範例包括:

• Email messages. 當 email 從一位使用者傳送給另一位使用者時,傳輸過程中會透過傳輸層安全性 (TLS) 進行加密。TLS 可確保 email 內容在透過網際網路傳輸時受到保護,防止遭截取者未經授權存取。為了加強安全性,可對 email 套用 Office 訊息加密 (OME),即使 email 被轉寄至組織外部,加密狀態仍會維持。
• 線上會議(Microsoft Teams). 在透過 Microsoft Teams 進行的線上會議中,影片、音訊及共享檔案等資料會在傳輸過程中透過 TLS 和安全即時傳輸協定 (SRTP) 進行加密。這些協定可確保會議期間的所有通訊皆能免於遭竊聽或篡改。

準備進行雲端備份加密

如前所述,Microsoft 365 資料在 Microsoft 雲端中經過強力加密,這提升了整體的安全等級。Microsoft 365 資料備份是資料保護策略的重要環節,強烈建議您定期備份 Microsoft 365 資料。備份資料可透過網路傳輸,並以加密或未加密的形式儲存於目標位置。

未加密的備份可能成為整個環境的安全漏洞。雖然 Microsoft 365 資料在雲端 Microsoft 伺服器上以及傳輸過程中均經過加密,但攻擊者仍可能入侵未加密的 Microsoft 365 備份。經過加密的 Microsoft 365 備份安全性更高。

NAKIVO Backup & Replication 這是一套企業級資料保護解決方案,支援備份加密功能,包括 Microsoft 365 備份的加密。您可以對整個備份儲存庫進行加密,或針對每個備份工作個別啟用加密功能。

透過 NAKIVO 解決方案將加密的 Microsoft 365 備份儲存於雲端,主要有以下三種情境:

• 在 Amazon S3 儲存桶 或類似的 S3 相容物件儲存服務。A 傳送器 部署於 Amazon Web Services (AWS) 的服務用於與 總監 並將資料傳輸至 S3 備份儲存庫。
• 建立一個 備份儲存庫 在 EC2 執行個體中。在此情況下,您可以部署完整的解決方案 NAKIVO Backup & Replication 在 Amazon EC2 執行個體中,這是一種位於 AWS 中的虛擬機器 (VM)。此外,您也可以部署一個包含 Transporter 和備份儲存庫的 EC2 執行個體,用以將加密備份儲存於 AWS 雲端中;同時,Director 則部署於本地端,並與 AWS 中的 Transporter 建立網路連線。建議您部署 Linux 版的 Transporter 來 不可變性 支援。
• 部署一套完整的解決方案 NAKIVO Backup & Replication 並在 Azure 雲端或其他公有雲中的虛擬機器上建立備份儲存庫。

讓我們來看看如何將加密的 Microsoft 365 備份儲存至 Amazon S3。在我們先前的一篇部落格文章中,我們曾探討過 如何設定 Microsoft 365 備份至 Amazon S3 本指南將詳細說明如何利用 SharePoint Online 資料進行操作示範。在 Amazon S3 中建立加密的 Microsoft 365 備份的工作流程包含相同的設定步驟,唯獨最後一步除外(Options) 以啟用加密功能。請參閱這篇文章,了解如何設定備份至 Amazon S3 的環境。在這篇部落格文章中,我們將重點介紹 Microsoft 365 備份加密的設定,並僅簡要說明初步步驟。

準備將加密的 Microsoft 365 備份傳輸至 Amazon S3

如果您尚未執行過以下步驟,請先完成必要的準備工作:

1. 在 Amazon S3 中建立一個儲存桶,作為 AWS 雲端中的備份儲存庫。為該儲存桶啟用物件版本控制和 Amazon S3 物件鎖定功能,以便能夠使用 備份不可變性 在 NAKIVO Backup & Replication 針對傳送至此儲存桶的還原點。

   若要啟用 S3 物件鎖定功能,請選取您的儲存桶,然後前往 Properties 分頁標籤中,並在 Object Lock 區段,點擊 Edit. 選擇 Enable, 閱讀警告,確認您已知悉,然後點擊 Save Changes.

   

2. 將 AWS 加入 NAKIVO 資產清單. 您必須擁有一個 AWS 帳戶,並產生 AWS 存取金鑰。
3. 將 Microsoft 365 加入清單. 新增 Microsoft 365 帳戶時,您可以選擇備份所有支援的 Microsoft 365 服務,或僅選擇特定服務(例如 Exchange Online 和 OneDrive for Business)。

   

4. 在 AWS 上部署 NAKIVO Transporter 或在本地機器上。在此範例中,我們將 Transporter 部署於 AWS。我們選擇所需的 AWS 區域、執行個體類型及其他設定。Transporter 用於與 Director 進行通訊,並將備份資料傳輸至 Amazon S3 儲存桶,以及從儲存桶中還原資料。

   

5. 在 Amazon S3 儲存桶中建立備份儲存庫. 您必須選擇一個 AWS 區域,以及已部署在 AWS 中的指定 Transporter。

   

環境已準備就緒,可建立 Microsoft 365 備份工作,並將加密的備份儲存至 Amazon S3 雲端。

準備將加密的 Microsoft 365 備份傳輸至 EC2

如果您需要備份 Microsoft 365 資料,並將這些資料以加密形式儲存於雲端(而非 Amazon S3 儲存桶中),請考慮採用此替代方案。為簡化說明,在本範例中,完整的解決方案為 NAKIVO Backup & Replication (Director、Transporter 和 備份 儲存庫) 部署於 EC2 執行個體中。

根據您的需求,可部署多個 部署選項 可用的選項,例如部署 NAKIVO Backup & Replication 完整的解決方案可在 Azure 或其他雲端環境中的虛擬機器上運行,或於本地端電腦上運行,並使用公有雲中的備份儲存庫。

1. 部署 NAKIVO Backup & Replication 作為 AMI 的 EC2 執行個體。若您使用其他雲端服務,請安裝完整的解決方案 NAKIVO Backup & Replication 在雲虛擬機器上。
2. 如果沒有內建儲存庫,請建立一個 本地資料夾備份儲存庫 (在指定的傳輸器上)位於安裝了 NAKIVO 解決方案的虛擬機器上。
3. 將您的 Microsoft 365 帳戶新增至 NAKIVO 資產清單.

您已準備好建立 Microsoft 365 備份工作,並將加密的備份儲存至雲端備份儲存庫中。

建立 Microsoft 365 加密備份

完成環境設定(包括 NAKIVO 清單、Transporter 及備份儲存庫)後,您應建立一個新的備份工作,用於 Microsoft 365 備份。

1. 在 NAKIVO 解決方案的網頁介面中,前往 Data Protection,點擊 + 然後點擊 Backup for Microsoft 365.

   

2. 在新備份工作精靈的第一步中,請選取要保護的項目。您可以根據先前已新增至 NAKIVO 清單的服務(Exchange Online、OneDrive、SharePoint、Teams)來選取項目。在此範例中,我們將備份 Microsoft OneDrive 以及使用者的信箱。

   

3. 選擇備份目的地。您可以選擇先前已新增至 NAKIVO 解決方案設定中的其中一個備份儲存庫。請選擇 Amazon S3 儲存庫,用於將 Microsoft 365 還原點以加密資料的形式儲存於 Amazon S3 儲存桶中。這是將加密的 Microsoft 365 備份儲存於公有雲中最具合理性的情境之一。

   

4. 設定 Microsoft 365 備份工作排程與保留設定。您可以新增多種排程,例如每日、每週和每月,並實施 GFS 保留政策.

   請注意每個排程中的"不可變性"核取方塊。如您所知,我們在環境設定流程的初期已啟用 Amazon S3 Object Lock 特點。備份不可變性與備份加密特點相輔相成,能顯著提升安全性。即使勒索軟體取得備份資料的存取權限,也無法修改、損毀或刪除不可變的備份資料。

   

5. 設定 Microsoft 365 備份工作選項。在此步驟中,您應設定 Microsoft 365 備份加密。輸入備份工作名稱,例如: Backup Office 365 encryption 01. 設定 Backup encryption 選項為 Enabled. 接著,點擊 Settings 設定 Microsoft 365 備份加密。

   註: 若啟用備份加密功能,資料將在來源端進行加密。加密後的資料會透過網路傳輸,並以加密格式儲存於備份儲存庫中。

   

6. 為 Microsoft 365 備份加密設定密碼。您也可以在 NAKIVO 解決方案中選取先前建立的密碼。輸入密碼並再次輸入。為當前密碼輸入說明,例如: Microsoft Office 365 encryption for backup.

   此外,您也可以設定鍵管理服務(例如 AWS Key Management Service (KMS)),用於備份加密,並在您忘記密碼時還原密碼雜湊值。點擊 Proceed.

   

7. 由於在此範例中設定備份加密時未使用金鑰管理服務,因此會顯示一則通知訊息。請閱讀該通知,並務必妥善保管您的加密密碼。點擊 Proceed 並點擊 Finish & Run 以加密方式執行 Microsoft 365 備份工作。

   

8. 請確認工作範圍與排程,以立即執行備份工作,然後點擊 Run.

   

另一種方法

如果您部署 NAKIVO Backup & Replication (完整解決方案或具備備份儲存庫的 Transporter) 部署於雲端虛擬機器(AWS、Azure 或其他公有雲)上時,建立新的 Microsoft 365 備份工作項目的流程在"選擇備份目的地"步驟上有所不同。若要在此情境下設定加密的 Microsoft 365 備份工作項目,請執行以下操作:

1. 在 NAKIVO 解決方案的網頁介面中,前往 Data Protection,點擊 + 並點擊 Backup for Microsoft 365.
2. 在 Sources 在備份精靈的此步驟中,請選取要備份的 Office 365 項目,例如使用者電子郵件、OneDrive、SharePoint 網站、Teams 等。
3. 在 Destination 在下一步中,請選擇一個備份儲存庫來存放加密的 Microsoft 365 備份。在此範例中,我們選擇 onboard repository 由於我們採用了 NAKIVO Backup & Replication (Director、Transporter 及 Backup Repository) 安裝於雲端虛擬機器上。透過此配置,我們可以將加密備份儲存於雲端。

   

4. 請依照前一個範例的說明,設定排程與保留設定。建議您透過選取備份的不可修改性,以確保備份資料的完整性。 Immutable for 勾選方塊並設定天數。針對指派給 Linux Transporter 的備份儲存庫,系統支援備份不可變性。

   

5. 最後,請在Microsoft 365備份時進行加密 Options 新備份工作精靈的下一步。輸入要顯示的備份工作名稱,例如: Backup Office 365 encryption 02. 選擇 Enabled 為了 Backup encryption 選項並按下 Settings.

   

6. 若您未使用金鑰管理服務,請建立新的加密密碼或選擇已儲存的密碼。最後,繼續並按下 Finish & Run 位於 Options 此步驟可儲存備份工作設定並建立 Microsoft 365 備份。加密資料將被傳輸並儲存至雲中的備份儲存庫。

設定備份複製至雲端

常見的做法是將 Microsoft 365 資料備份至本地備份儲存庫(本地),然後建立備份複製並傳送至公有雲,例如 Amazon S3 或 Azure Blob Storage。無論採用哪種方式,您都可以透過 NAKIVO 解決方案啟用備份加密功能。此方法的優勢在於可快速建立本地備份,隨後再將其複製至雲端。

讓我們來看看如何將 Microsoft 365 資料的備份複製配置至雲端。在此範例中,我們有一份儲存於 Onboard 備份儲存庫中的 Microsoft 365 備份。

1. 前往 Data Protection,點擊 + 並點擊 Backup copy.

   

2. 選取儲存於本機備份儲存庫中的 Microsoft 365 備份。您可以選取多個備份,並從備份中選取自訂物件。按下 Next 繼續。

   

3. 請選擇備份複製的儲存位置。我們選擇 Amazon S3 中的儲存庫。

   

4. 設定排程與保留選項。您可以在此步驟啟用備份不可變性。

   

5. 設定 Microsoft 365 備份複製工作選項。若在來源端已為 Microsoft 365 備份啟用備份加密(在 Options (備份工作階段),備份複製將以加密狀態傳輸。若備份工作未設定加密,您可在 Options 備份複製工作精靈的步驟。

   點擊 Finish & Run 儲存設定,並執行 Microsoft 365 備份複製工作至雲端。

   

結論

Microsoft 365 加密是一項旨在提升使用 Office 365 服務時安全性的措施。資料在傳輸過程中及儲存時均會進行加密,以提供更強的保護,防止未經授權的存取。除了內建的加密特點外,為 Microsoft 365 備份設定加密亦至關重要。 NAKIVO Backup & Replication 支援 Microsoft 365 備份的加密功能,這些備份可儲存於雲端服務中,例如 Amazon S3、AWS EC2、Azure 等。NAKIVO 解決方案會對傳輸中及儲存中的備份資料進行加密。下載 NAKIVO Backup & Replication 並在雲端建立加密的 Microsoft 365 備份。

試試看 NAKIVO Backup & Replication

立即申請免費試用,全面體驗本解決方案的所有資料保護特點。15 天免費試用。無功能或容量限制。無需提供信用卡資訊。

免費試用