Verschlüsseln ruhender Defender for Cloud Apps-Daten mit Ihrem eigenen Schlüssel (BYOK)

Artikel
04/16/2024

In diesem Artikel wird beschrieben, wie Sie Defender for Cloud Apps konfigurieren, damit Sie Ihren eigenen Schlüssel zum Verschlüsseln der gesammelten ruhenden Daten verwenden können. Wenn Sie nach Informationen zur Verschlüsselung von in Cloud-Apps gespeicherten Daten suchen, lesen Sie die Azure Information Protection-Integration.

Defender for Cloud Apps nimmt Ihre Sicherheit und Ihren Datenschutz ernst. Sobald Defender for Cloud Apps mit dem Sammeln von Daten beginnt, verwendet es eigene verwaltete Schlüssel, um Ihre Daten gemäß unserer Datensicherheits- und Datenschutzrichtlinie zu schützen. Darüber hinaus können Sie mit Defender for Cloud Apps Ihre ruhenden Daten weiter schützen, indem Sie sie mit Ihrem eigenen Azure Key Vault-Schlüssel verschlüsseln.

Wichtig

Wenn beim Zugriff auf Ihren Azure Key Vault-Schlüssel ein Problem auftritt, kann Defender for Cloud Apps Ihre Daten nicht verschlüsseln, und Ihr Mandant wird innerhalb einer Stunde gesperrt. Wenn Ihr Mandant gesperrt ist, wird der gesamte Zugriff darauf blockiert, bis die Ursache behoben wurde. Sobald Ihr Schlüssel erneut zugänglich ist, wird der Vollzugriff auf Ihren Mandanten wiederhergestellt.

Dieses Verfahren ist nur im Microsoft Defender-Portal verfügbar und kann nicht im klassischen Microsoft Defender for Cloud Apps-Portal ausgeführt werden.

Voraussetzungen

Sie müssen die App Microsoft Defender for Cloud Apps – BYOK in der Microsoft Entra ID Ihres Mandanten registrieren, die Ihrem Defender for Cloud Apps-Mandanten zugeordnet ist.

So registrieren Sie die App

Installieren Sie Microsoft Graph PowerShell.

Öffnen Sie ein PowerShell-Terminal, und führen Sie die folgenden Befehle aus:

Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

Wo ServicePrincipalId die ID ist, die vom vorhergehenden Befehl zurückgesendet wird (New-MgServicePrincipal).

Hinweis

Defender for Cloud Apps verschlüsselt ruhende Daten für alle neuen Mandanten.
Alle Daten, die sich mehr als 48 Stunden in Defender for Cloud Apps befinden, werden verschlüsselt.

Bereitstellen Ihres Azure Key Vault-Schlüssels

Erstellt einen neuen Schlüsseltresor mit aktiviertem Schutz vor vorläufigem und endgültigem Löschen.
Öffnen Sie im neu generierten Schlüsseltresor den Bereich Zugriffsrichtlinien, und wählen Sie dann +Zugriffsrichtlinie hinzufügen.
1. Wählen Sie Schlüsselberechtigungen aus, und wählen Sie die folgenden Berechtigungen aus dem Einblendmenü aus:
  
  Abschnitt Erforderliche Berechtigungen
  
  Schlüsselverwaltungsvorgänge - Liste
  
  Kryptografische Vorgänge - Schlüssel packen
  - Schlüssel entpacken
2. Wählen Sie unter Prinzipal auswählenMicrosoft Defender for Cloud Apps – BYOK oder Microsoft Cloud App Security – BYOK aus.
3. Wählen Sie Speichern.
Erstellen Sie einen neuen RSA-Schlüssel, und gehen Sie wie folgt vor:

Hinweis

Es werden nur RSA-Schlüssel unterstützt.
1. Wählen Sie, nachdem Sie den Schlüssel erstellt haben, den neu generierten Schlüssel und dann die aktuelle Version aus. Daraufhin werden Zulässige Vorgänge angezeigt.
2. Stellen Sie unter Zulässige Vorgänge sicher, dass die folgenden Optionen aktiviert sind:
  - Schlüssel packen
  - Schlüssel entpacken
3. Kopieren Sie die Schlüsselkennung-URI. Sie werden sie später benötigen.
Wenn Sie optional eine Firewall für ein ausgewähltes Netzwerk verwenden, konfigurieren Sie die folgenden Firewalleinstellungen, um Defender for Cloud Apps Zugriff auf den angegebenen Schlüssel zu gewähren, und klicken Sie dann auf Speichern:
1. Vergewissern Sie sich, dass keine virtuellen Netzwerke ausgewählt sind.
2. Fügen Sie die folgenden IP-Adressen hinzu:
  - 13.66.200.132
  - 23.100.71.251
  - 40.78.82.214
  - 51.105.4.145
  - 52.166.166.111
  - 13.72.32.204
  - 52.244.79.38
  - 52.227.8.45
3. Wählen Sie Vertrauenswürdigen Microsoft-Diensten die Umgehung dieser Firewall erlauben.

Abschnitt	Erforderliche Berechtigungen
Schlüsselverwaltungsvorgänge	- Liste
Kryptografische Vorgänge	- Schlüssel packen - Schlüssel entpacken

Aktivieren der Datenverschlüsselung in Defender for Cloud Apps

Wenn Sie die Datenverschlüsselung aktivieren, verwendet Defender for Cloud Apps sofort Ihren Azure Key Vault-Schlüssel, um ruhende Daten zu verschlüsseln. Da Sie Ihren Schlüssel für den Verschlüsselungsprozess brauchen, müssen Sie sicherstellen, dass Ihr festgelegter Schlüsseltresor und Ihr Schlüssel jederzeit zugänglich sind.

So aktivieren Sie die Datenverschlüsselung

Wählen Sie im Microosft Defender-Portal Einstellungen > Cloud Apps > Datenverschlüsselung > Datenverschlüsselung aktivieren aus.
Fügen Sie im Feld Azure Key Vault-Schlüssel-URI den URI-Wert der Schlüsselkennung ein, den Sie zuvor kopiert haben. Defender for Cloud Apps verwendet immer die aktuelle Schlüsselversion, unabhängig von der vom URI angegebenen Schlüsselversion.
Wählen Sie Aktivieren, sobald die URI-Validierung abgeschlossen ist.

Hinweis

Wenn Sie die Datenverschlüsselung deaktivieren, entfernt Defender for Cloud Apps die Verschlüsselung mit Ihrem eigenen Schlüssel aus den ruhenden Daten. Ihre Daten werden jedoch weiter von den von Defender for Cloud Apps verwalteten Schlüsseln verschlüsselt.

So deaktivieren Sie die Datenverschlüsselung: Wechseln Sie zur Registerkarte Datenverschlüsselung, und klicken Sie auf Datenverschlüsselung deaktivieren.

Behandeln von Schlüsselrollen

Immer wenn Sie neue Versionen des Schlüssels für die Datenverschlüsselung konfigurierten Schlüssels erstellen, migriert Defender for Cloud Apps automatisch auf die aktuelle Version des Schlüssels.