O Microsoft Copilot processa e armazena dados dos serviços do Microsoft 365, incluindo históricos de chat, referências a arquivos e respostas fundamentadas. Quando os dados são armazenados, a Microsoft os criptografa em repouso usando uma hierarquia de chaves em camadas. Entender essa hierarquia e a frequência com que as chaves de criptografia são rotacionadas ajuda os administradores de TI a avaliar a proteção de dados e a conformidade. Este artigo explica as camadas de chave, o cronograma de rotação e como o Copilot herda seu modelo de criptografia do Microsoft 365.
Principais Conclusões: Criptografia do Copilot em Repouso
- Criptografia de Serviço do Microsoft 365 com Customer Key: Os dados do Copilot herdam as mesmas chaves de criptografia de nível de locatário usadas pelo Exchange Online, SharePoint Online e OneDrive for Business.
- Hierarquia de chaves em três camadas: As Chaves de Criptografia de Dados (DEKs) são encapsuladas por Chaves de Criptografia de Chave (KEKs), que são encapsuladas por uma Chave de Locatário. Cada camada é rotacionada em uma cadência separada.
- Cadência de rotação padrão: A Microsoft rotaciona automaticamente as Chaves de Locatário a cada 28 dias. Chaves gerenciadas pelo cliente com Customer Key seguem uma política de rotação de 90 dias.
Criptografia de Dados do Copilot em Repouso: A Hierarquia de Chaves
O Copilot não introduz um sistema de criptografia separado. Ele usa o mesmo modelo de criptografia em repouso que o Microsoft 365 aplica ao Exchange Online, SharePoint Online e OneDrive for Business. A criptografia depende de uma hierarquia de chaves em três camadas.
Camada 1: Chave de Criptografia de Dados (DEK)
Uma Chave de Criptografia de Dados é uma chave simétrica AES de 256 bits. Cada dado armazenado em disco, como uma sessão de chat do Copilot ou um arquivo de resposta fundamentada, é criptografado com sua própria DEK. As DEKs são geradas por blob ou por arquivo. Elas nunca são armazenadas em texto simples.
Camada 2: Chave de Criptografia de Chave (KEK)
Uma Chave de Criptografia de Chave criptografa a DEK. Cada DEK é encapsulada por uma KEK antes de ser armazenada no repositório de chaves. As KEKs também são chaves simétricas AES de 256 bits. Múltiplas DEKs podem compartilhar a mesma KEK dentro de uma partição lógica de dados.
Camada 3: Chave de Locatário
A Chave de Locatário está no topo da hierarquia. Ela encapsula as KEKs. A Microsoft gerencia a Chave de Locatário por padrão, mas os locatários podem usar o Customer Key para fornecer sua própria chave armazenada no Azure Key Vault. A Chave de Locatário é a raiz de confiança para todos os dados do Copilot naquele locatário.
Cadência de Rotação para Cada Camada de Chave
A Microsoft rotaciona as chaves em um cronograma fixo para limitar o impacto de um comprometimento de chave. Cada camada tem uma cadência de rotação diferente.
Rotação da DEK
As Chaves de Criptografia de Dados são rotacionadas sempre que o blob ou arquivo subjacente é reescrito. Isso significa que toda vez que o Copilot salva um chat atualizado ou uma nova resposta fundamentada, uma nova DEK é gerada. A DEK antiga é desativada após um período de carência de 30 dias, durante o qual ainda pode descriptografar dados antigos. Após 30 dias, a DEK antiga é excluída permanentemente.
Rotação da KEK
As Chaves de Criptografia de Chave são rotacionadas a cada 90 dias. A Microsoft realiza a rotação automaticamente. A KEK antiga é retida por 90 dias após a rotação para permitir o reencapsulamento de quaisquer DEKs que ainda a referenciem. Após 90 dias, a KEK antiga é excluída.
Rotação Padrão da Chave de Locatário
Para locatários que usam Chaves de Locatário gerenciadas pela Microsoft, a rotação ocorre a cada 28 dias. A Chave de Locatário antiga é mantida por 180 dias para garantir que todas as KEKs encapsuladas possam ser desencapsuladas. Após 180 dias, a chave antiga é eliminada.
Rotação da Chave de Locatário com Customer Key
Quando um locatário usa o Customer Key, o cronograma de rotação muda. O administrador do locatário deve acionar uma rotação de chave no centro de administração do Microsoft 365. A Microsoft recomenda rotacionar a cada 90 dias. Se o locatário não rotacionar em até 120 dias, a Microsoft rotaciona automaticamente a chave para manter a segurança. A chave antiga é retida por 90 dias após a rotação.
Como os Dados do Copilot São Criptografados em Repouso
O Copilot armazena vários tipos de dados que são criptografados em repouso: histórico de chat, referências a arquivos, texto de resposta fundamentada e metadados. Cada tipo de dado é armazenado na mesma infraestrutura de armazenamento do Microsoft 365 que o serviço de origem.
Por exemplo, quando o Copilot no Word referencia um documento armazenado no OneDrive for Business, o documento em si é criptografado com a camada de criptografia do SharePoint Online. A sessão de chat do Copilot que o referencia é armazenada na partição de serviço do Copilot e criptografada com a hierarquia de chaves de nível de locatário. A DEK da sessão de chat é encapsulada pela KEK do locatário, que é encapsulada pela Chave de Locatário.
Esse design significa que, se um invasor obtiver acesso ao disco físico, não poderá ler nenhum dado do Copilot sem primeiro descriptografar a Chave de Locatário. Mesmo que uma única DEK seja comprometida, apenas aquele blob específico é exposto. O restante dos dados do locatário permanece protegido.
Equívocos Comuns Sobre a Criptografia do Copilot
O Copilot Usa uma Chave de Criptografia Separada do Microsoft 365
Isso é falso. O Copilot herda a mesma hierarquia de chaves que o Microsoft 365 usa para Exchange Online, SharePoint Online e OneDrive for Business. Não há um repositório de chaves específico do Copilot. A Chave de Locatário que protege sua caixa de correio também protege seus dados de chat do Copilot.
O Customer Key Dá à Microsoft Acesso aos Seus Dados
O Customer Key armazena a Chave de Locatário no Azure Key Vault sob controle do locatário. A Microsoft não pode acessar a chave. Se você usar o Customer Key, a Microsoft não pode descriptografar seus dados do Copilot, mesmo que exigido por lei. Você deve fornecer a chave durante uma operação de recuperação de dados.
A Roração de Chave Exige Indisponibilidade
A rotação de chave é uma operação em segundo plano. O Copilot permanece totalmente disponível durante a rotação. As chaves antigas são retidas por um período de carência para que os dados criptografados existentes ainda possam ser lidos. Novos dados usam a nova chave imediatamente.
Criptografia do Copilot em Repouso: Padrão vs. Customer Key
| Item | Chave Padrão Gerenciada pela Microsoft | Customer Key (Traga Sua Própria Chave) |
|---|---|---|
| Propriedade da chave | A Microsoft gerencia a Chave de Locatário | O locatário gerencia a Chave de Locatário no Azure Key Vault |
| Cadência de rotação da Chave de Locatário | A cada 28 dias automaticamente | A cada 90 dias recomendado, acionado pelo administrador |
| Período de retenção da chave antiga | 180 dias após a rotação | 90 dias após a rotação |
| Capacidade de revogar a chave | Não é possível | O administrador pode revogar o acesso à chave a qualquer momento |
| Recuperação de dados sem a chave | A Microsoft pode recuperar usando chave interna | Os dados são irrecuperáveis sem a chave do locatário |
| Certificações de conformidade | FedRAMP High, SOC 2, ISO 27001 | Todas as padrão mais Cláusulas Modelo da UE e BAA da HIPAA |
Limitações e Casos Especiais
O Customer Key Não Está Disponível em Todos os Planos
O Customer Key está disponível apenas no Microsoft 365 E5, Microsoft 365 E5 Compliance e Office 365 E5. Locatários com Copilot para Microsoft 365, mas sem uma licença E5, não podem usar o Customer Key. Eles devem usar a Chave de Locatário padrão gerenciada pela Microsoft.
Locatários Multi-Geo Têm Chaves de Locatário Separadas
Se seu locatário usa o Microsoft 365 Multi-Geo, cada geografia tem sua própria Chave de Locatário. Os dados do Copilot armazenados em uma geografia específica são criptografados com a chave dessa geografia. A cadência de rotação de chave se aplica independentemente por geografia.
O Histórico de Chat do Copilot Não É Criptografado com a Chave do Arquivo de Origem
Um chat do Copilot que referencia um documento do Word não usa a DEK do documento do Word. A sessão de chat tem sua própria DEK encapsulada pela KEK do locatário. Isso significa que revogar a chave do documento do Word não afeta a chave da sessão de chat. A sessão de chat permanece legível até que sua própria DEK seja rotacionada e a DEK antiga expire.
Verificando a Configuração de Criptografia do Seu Locatário
Para verificar se seu locatário usa a chave padrão ou o Customer Key, siga estas etapas.
- Abra o centro de administração do Microsoft 365
Acesse admin.microsoft.com e faça login com credenciais de Administrador Global. - Navegue até Configurações > Configurações da organização > Segurança e privacidade
Selecione Segurança e privacidade na lista de configurações da organização. - Selecione Customer Key
Se o Customer Key estiver habilitado, você verá os URIs da chave para cada carga de trabalho. Se a página mostrar uma mensagem informando que o Customer Key não está configurado, seu locatário usa a chave padrão gerenciada pela Microsoft.
Agora você pode descrever a hierarquia de chaves de criptografia do Copilot e a cadência de rotação para sua equipe de conformidade. Revise o status do Customer Key do seu locatário para decidir se uma estratégia de trazer sua própria chave é necessária para os dados do Copilot. Para locatários que exigem controle máximo, habilite o Customer Key e configure uma política de rotação manual de 90 dias no Azure Key Vault.