Sdílet prostřednictvím

Šifrování neaktivních uložených dat Defenderu pro Cloud Apps pomocí vlastního klíče (BYOK)

  • Článek

Tento článek popisuje, jak nakonfigurovat Defender for Cloud Apps tak, aby používal váš vlastní klíč k šifrování dat, která shromažďuje, zatímco jsou neaktivní uložená. Pokud hledáte dokumentaci týkající se použití šifrování na data uložená v cloudových aplikacích, přečtěte si téma Integrace Microsoft Purview.

Defender for Cloud Apps bere vaše zabezpečení a ochranu osobních údajů vážně. Proto jakmile Defender for Cloud Apps začne shromažďovat data, používá k ochraně vašich dat vlastní spravované klíče v souladu s našimi zásadami zabezpečení a ochrany osobních údajů . Defender for Cloud Apps navíc umožňuje dále chránit neaktivní uložená data tím, že je zašifrujete pomocí vlastního klíče služby Azure Key Vault.

Důležité

Pokud dojde k potížím s přístupem ke klíči služby Azure Key Vault, služba Defender for Cloud Apps nezašifruje vaše data a váš tenant se zamkne během hodiny. Když je váš tenant uzamčený, veškerý přístup k němu se zablokuje, dokud se příčina nevyřeší. Jakmile bude klíč znovu přístupný, obnoví se úplný přístup k vašemu tenantovi.

Tento postup je k dispozici pouze na portálu Microsoft Defenderu a nejde ho provést na klasickém portálu Microsoft Defender for Cloud Apps.

Požadavky

Aplikaci Microsoft Defender for Cloud Apps – BYOK musíte zaregistrovat v ID Microsoft Entra vašeho tenanta přidruženého k vašemu tenantovi Defenderu for Cloud Apps.

Registrace aplikace

  1. Nainstalujte Microsoft Graph PowerShell.

  2. Otevřete terminál PowerShellu a spusťte následující příkazy:

    Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 00001111-aaaa-2222-bbbb-3333cccc4444

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '00001111-aaaa-2222-bbbb-3333cccc4444'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

    Kde ServicePrincipalId je ID vrácené předchozím příkazem (New-MgServicePrincipal).

Poznámka:

  • Defender for Cloud Apps šifruje neaktivní uložená data pro všechny nové tenanty.
  • Všechna data, která se nacházejí v programu Defender for Cloud Apps po dobu delší než 48 hodin, se zašifrují.

Nasazení klíče služby Azure Key Vault

  1. Vytvořte novou službu Key Vault s povolenými možnostmi obnovitelného odstranění a ochrany před vymazáním.

  2. V nové vygenerované službě Key Vault otevřete podokno Zásad přístupu a pak vyberte +Přidat zásady přístupu.

    1. V rozevírací nabídce vyberte Oprávnění ke klíči a zvolte následující oprávnění:

      Sekce Požadována oprávnění
      Operace správy klíčů -Seznam
      Kryptografické operace - Zalamovací klíč
      - Unwrap key

      Snímek obrazovky znázorňující výběr oprávnění ke klíči

    2. V části Vybrat objekt zabezpečení zvolte Microsoft Defender for Cloud Apps – BYOK nebo Microsoft Cloud App Security – BYOK.

      Snímek obrazovky zobrazující stránku přidat zásadu přístupu

    3. Zvolte Uložit.

  3. Vytvořte nový klíč RSA a postupujte takto:

    Poznámka:

    Podporují se jenom klíče RSA.

    1. Po vytvoření klíče vyberte nový vygenerovaný klíč, vyberte aktuální verzi a pak se zobrazí povolené operace.

    2. V části Povolené operace se ujistěte, že jsou povolené následující možnosti:

      • Zabalit klíč
      • Rozbalit klíč

    3. Zkopírujte identifikátor URI identifikátoru klíče. Budete ho totiž potřebovat později.

    Snímek obrazovky se stránkou nastavení klíče

  4. Pokud pro vybranou síť používáte bránu firewall, nakonfigurujte následující nastavení brány firewall tak, aby programu Defender for Cloud Apps poskytl přístup k zadanému klíči a potom klikněte na Uložit:

    1. Ujistěte se, že nejsou vybrány žádné virtuální sítě.
    2. Přidejte následující IP adresy:
      • 13.66.200.132
      • 23.100.71.251
      • 40.78.82.214
      • 51.105.4.145
      • 52.166.166.111
      • 13.72.32.204
      • 52.244.79.38
      • 52.227.8.45
    3. Tuto bránu firewall můžete obejít výběrem možnosti Povolit důvěryhodné služby Microsoft.

    Snímek obrazovky znázorňující konfiguraci brány firewall

Povolení šifrování dat v Defenderu pro Cloud Apps

Když povolíte šifrování dat, Defender for Cloud Apps okamžitě použije klíč služby Azure Key Vault k šifrování neaktivních uložených dat. Vzhledem k tomu, že klíč je nezbytný pro proces šifrování, je důležité zajistit, aby byl váš určený trezor klíčů a klíč neustále přístupný.

Povolení šifrování dat

  1. Na portálu Microsoft Defender vyberte Nastavení > šifrování dat Cloud Apps > Povolit šifrování >dat.

  2. Do pole identifikátoru URI klíče služby Azure Key Vault vložte hodnotu identifikátoru URI klíče, kterou jste zkopírovali dříve. Defender for Cloud Apps vždy používá nejnovější verzi klíče bez ohledu na verzi klíče určenou identifikátorem URI.

  3. Po dokončení ověření identifikátoru URI vyberte Povolit.

Poznámka:

Když zakážete šifrování dat, Defender for Cloud Apps odebere šifrování s vlastním klíčem z neaktivních uložených dat. Vaše data ale zůstávají zašifrovaná pomocí spravovaných klíčů Defenderu for Cloud Apps.

Chcete-li zakázat šifrování dat: Přejděte na kartu Šifrování dat a klikněte na Zakázat šifrování dat.

Zpracování rolí klíčů

Pokaždé, když vytvoříte nové verze klíče nakonfigurovaného pro šifrování dat, Program Defender for Cloud Apps se automaticky vrátí k nejnovější verzi klíče.

Zpracování selhání šifrování dat

Pokud při přístupu ke klíči služby Azure Key Vault dojde k potížím, program Defender for Cloud Apps zašifruje vaše data a váš tenant se zamkne během hodiny. Když je váš tenant uzamčený, veškerý přístup k němu se zablokuje, dokud se příčina nevyřeší. Jakmile bude klíč znovu přístupný, obnoví se úplný přístup k vašemu tenantovi. Informace o zpracování chyb šifrování dat najdete v tématu Řešení potíží s šifrováním dat pomocí vlastního klíče.