Detalles de Bring Your Own Key (BYOK) para Azure Information Protection
Nota:
¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.
El cliente de Microsoft Purview Information Protection (sin el complemento) está disponible con carácter general.
Las organizaciones con una suscripción de Azure Information Protection pueden optar por configurar su inquilino con su propia clave, en lugar de una clave predeterminada generada por Microsoft. Esta configuración suele denominarse Bring Your Own Key (BYOK).
BYOK y el registro de uso funcionan sin problemas con las aplicaciones que se integran con el servicio Azure Rights Management usado por Azure Information Protection.
Entre las aplicaciones admitidas se incluyen:
Servicios en la nube, como Microsoft SharePoint o Microsoft 365
Servicios en el entorno local que ejecutan aplicaciones de Exchange y SharePoint que usan el servicio Azure Rights Management a través del conector RMS
Aplicaciones cliente, como Office 2019, Office 2016 y Office 2013
Sugerencia
Si es necesario, aplique seguridad adicional a documentos específicos mediante una clave en el entorno local adicional. Para obtener más información, consulte Protección de cifrado de doble clave (DKE) (solo cliente de etiquetado unificado).
Almacenamiento de claves Azure Key Vault
Las claves generadas por el cliente deben almacenarse en Azure Key Vault para su protección BYOK.
Nota:
El uso de claves protegidas con HSM en Azure Key Vault requiere un nivel de servicio Premium de Azure Key Vault, que incurre en una tarifa de suscripción mensual adicional.
Uso compartido de almacenes de claves y suscripciones
Se recomienda usar un almacén de claves dedicado para la clave de inquilino. Los almacenes de claves dedicados ayudan a asegurarse de que las llamadas de otros servicios no hacen que se superen los límites de servicio. Superar los límites de servicio en el almacén de claves donde se almacena la clave de inquilino puede provocar una limitación del tiempo de respuesta para el servicio Azure Rights Management.
A medida que los distintos servicios tienen distintos requisitos de administración de claves, Microsoft también recomienda usar una suscripción de Azure dedicada para el almacén de claves. Suscripciones de Azure dedicadas:
Protección frente a configuraciones incorrectas
Son más seguros cuando los distintos servicios tienen administradores diferentes
Para compartir una suscripción de Azure con otros servicios que usan Azure Key Vault, asegúrese de que la suscripción comparte un conjunto común de administradores. Confirmar que todos los administradores que usan la suscripción tienen una comprensión sólida de cada clave a la que pueden acceder, significa que es menos probable que configuren las claves de forma incorrecta.
Ejemplo: Usar una suscripción de Azure compartida cuando los administradores de la clave de inquilino de Azure Information Protection son las mismas personas que administran las claves para la clave de cliente de Office 365 y CRM online. Si los administradores clave de estos servicios son diferentes, se recomienda usar suscripciones dedicadas.
Ventajas de usar Azure Key Vault
Azure Key Vault proporciona una solución de administración de claves centralizada y coherente para muchos servicios en el entorno local y basados en la nube que usan cifrado.
Además de administrar claves, Azure Key Vault ofrece a los administradores de seguridad la misma experiencia de administración para almacenar, acceder y administrar certificados y secretos (como contraseñas) para otros servicios y aplicaciones que usan cifrado.
El almacenamiento de la clave de inquilino en Azure Key Vault proporciona las siguientes ventajas:
Ventaja | Descripción |
---|---|
Interfaces integradas | Azure Key Vault admite una serie de interfaces integradas para la administración de claves, como PowerShell, la CLI, las API REST y Azure Portal. Otros servicios y herramientas se han integrado con Key Vault para funcionalidades optimizadas para tareas específicas, como la supervisión. Por ejemplo, analice los registros de uso de claves con Análisis de registros de Operations Management Suite, establezca alertas cuando se cumplan los criterios especificados, etc. |
Separación de roles | Azure Key Vault proporciona separación de roles como procedimiento recomendado de seguridad reconocido. La separación de roles garantiza que los administradores de Azure Information Protection puedan centrarse en sus prioridades más altas, incluida la administración de la clasificación y protección de datos, así como las claves de cifrado y las directivas para requisitos específicos de seguridad o cumplimiento. |
Ubicación de la clave maestra | Azure Key Vault está disponible en una variedad de ubicaciones y admite organizaciones con restricciones donde puedan residir las claves maestras. Para más información, consulte la página de Productos disponibles por región en el sitio de Azure. |
Dominios de seguridad separados | Azure Key Vault usa dominios de seguridad independientes para sus centros de datos en regiones como Norteamérica, EMEA (Europa, Oriente Medio y África) y Asia. Azure Key Vault también usa instancias diferentes de Azure, como Microsoft Azure Alemania y Azure Government. |
Experiencia unificada | Azure Key Vault también permite a los administradores de seguridad almacenar, acceder y administrar certificados y secretos, como contraseñas, para otros servicios que usan cifrado. El uso de Azure Key Vault para las claves de inquilino proporciona una experiencia de usuario perfecta para los administradores que administran todos estos elementos. |
Para obtener las actualizaciones más recientes y obtener información sobre cómo otros servicios usan Azure Key Vault, visite el blog del equipo de Azure Key Vault.
Registro de uso para BYOK
Cada aplicación que realiza solicitudes al servicio Azure Rights Management genera registros de uso.
Aunque el registro de uso es opcional, se recomienda usar los registros de uso casi en tiempo real de Azure Information Protection para ver exactamente cómo y cuándo se usa la clave de inquilino.
Para más información sobre el registro de uso de claves para BYOK, consulte Registro y análisis del uso de protección de Azure Information Protection.
Sugerencia
Para obtener una garantía adicional, se puede hacer una referencia cruzada al registro de uso de Azure Information Protection con el registro de Azure Key Vault. Los registros de Key Vault proporcionan un método confiable para supervisar de forma independiente que solo el servicio Azure Rights Management usa la clave.
Si es necesario, revoque inmediatamente el acceso a la clave mediante la eliminación de permisos en el almacén de claves.
Opciones para crear y almacenar la clave
Nota:
Para más información sobre la oferta de HSM administrado y cómo configurar un almacén y una clave, consulte la documentación de Azure Key Vault.
A continuación se describen instrucciones adicionales sobre la concesión de autorización de claves.
BYOK admite claves que se crean en Azure Key Vault o en el entorno local.
Si crea la clave en en el entorno local, debe transferirla o importarla en Key Vault y configurar Azure Information Protection para que use la clave. Realice cualquier administración de claves adicional desde Azure Key Vault.
Opciones para crear y almacenar su propia clave:
Creado en Azure Key Vault. Cree y almacene la clave en Azure Key Vault como una clave protegida con HSM o una clave protegida por software.
Creado en el entorno local. Cree la clave en el entorno local y transfiérala a Azure Key Vault mediante una de las siguientes opciones:
Clave protegida con HSM, transferida como clave protegida con HSM. El método más típico elegido.
Aunque este método tiene la mayor sobrecarga administrativa, puede ser necesario que su organización siga las regulaciones específicas. Los HSM usados por Azure Key Vault tienen validación fiPS 140.
Clave protegida por software que se convierte y transfiere a Azure Key Vault como una clave protegida con HSM. Este método solo se admite al migrar desde Active Directory Rights Management Services (AD RMS).
Se creó en el entorno local como una clave protegida por software y se transfirió a Azure Key Vault como una clave protegida por software. Este método requiere un Archivo de certificado .PFX.
Por ejemplo, haga lo siguiente para usar una clave creada en el entorno local:
Genere la clave de inquilino en el entorno local, en línea con las directivas de seguridad y TI de su organización. Esta clave es la copia maestra. Permanece en el entorno local y es necesario para su copia de seguridad.
Cree una copia de la clave maestra y transfiérala de forma segura desde el HSM a Azure Key Vault. A lo largo de este proceso, la copia maestra de la clave nunca deja el límite de protección de hardware.
Una vez transferida, la copia de la clave está protegida por Azure Key Vault.
Exportación del dominio de publicación de confianza
Si alguna vez decide dejar de usar Azure Information Protection, necesitará un dominio de publicación de confianza (TPD) para descifrar el contenido protegido por Azure Information Protection.
Sin embargo, no se admite la exportación del TPD si usa BYOK para la clave de Azure Information Protection.
Para prepararse para este escenario, asegúrese de crear un TPD adecuado con antelación. Para obtener más información, consulte Preparación de un plan de "salida de nube" de Azure Information Protection.
Implementación de BYOK para la clave de inquilino de Azure Information Protection
Use los pasos siguientes para la implementación de BYOK:
- Revisión de los requisitos de BYOK
- Elección de una ubicación de Key Vault
- Creación y configuración de la clave
Requisitos previos de BYOK
Los requisitos previos de BYOK varían, en función de la configuración del sistema. Compruebe que el sistema cumple los siguientes requisitos previos según sea necesario:
Requisito | Descripción |
---|---|
Suscripción de Azure | Necesario para todas las configuraciones. Para más información, consulte Comprobación de que tiene una suscripción de Azure compatible con BYOK. |
Módulo de PowerShell AIPService para Azure Information Protection | Necesario para todas las configuraciones. Para más información, consulte Instalación del módulo de PowerShell de AIPService. |
Requisitos previos de Azure Key Vault para BYOK | Si usa una clave protegida con HSM que se creó en el entorno local, asegúrese de que también cumple los requisitos previos de BYOK enumerados en la documentación de Azure Key Vault. |
Firmware de Thales versión 11.62 | Debe tener una versión de firmware de Thales de 11.62 si va a migrar de AD RMS a Azure Information Protection mediante el uso de la clave de software a la clave de hardware y usa el firmware de Thales para el HSM. |
Omisión del firewall para los servicios de Microsoft de confianza | Si el almacén de claves que contiene la clave de inquilino usa puntos de conexión de servicio de red virtual para Azure Key Vault, debe permitir que los servicios Microsoft de confianza omitan este firewall. Para más información, consulte Puntos de conexión de servicio de red virtual para Azure Key Vault. |
Comprobación de que tiene una suscripción de Azure compatible con BYOK
El inquilino de Azure Information Protection debe tener una suscripción de Azure. Si todavía no tiene una, puede registrarse para obtener una cuenta gratuita. Sin embargo, para usar una clave protegida con HSM, debe tener el nivel de servicio Azure Key Vault Premium.
La suscripción gratuita de Azure que proporciona acceso a la configuración de Microsoft Entra y a la configuración de plantillas personalizadas de Azure Rights Management no es suficiente para usar Azure Key Vault.
Para confirmar si tiene una suscripción de Azure compatible con BYOK, haga lo siguiente para comprobarlo mediante cmdlets de Azure PowerShell:
Inicie una sesión de Azure PowerShell como administrador.
Inicie sesión como administrador global para el inquilino de Azure Information Protection mediante
Connect-AzAccount
.Copie el token que se muestra en el portapapeles. A continuación, en un explorador, vaya a https://microsoft.com/devicelogin y escriba el token copiado.
Para obtener más información, consulte Inicio de sesión con Azure PowerShell.
En la sesión de PowerShell, escriba
Get-AzSubscription
y confirme que se muestran los valores siguientes:- El nombre y el identificador de la suscripción
- El id. de inquilino de Azure Information Protection
- Confirmación de que el estado está habilitado
Si no se muestran valores y se le devuelve al símbolo del sistema, no tiene una suscripción de Azure que se pueda usar para BYOK.
Elección de la ubicación del almacén de claves
Al crear un almacén de claves para que contenga la clave que se va a usar como clave de inquilino para Azure Information, debe especificar una ubicación. Esta ubicación es una región de Azure o una instancia de Azure.
Elija primero el cumplimiento y, a continuación, para minimizar la latencia de red:
Si ha elegido el método de clave BYOK por motivos de cumplimiento, esos requisitos de cumplimiento también pueden exigir qué región o instancia de Azure se pueden usar para almacenar la clave de inquilino de Azure Information Protection.
Todas las llamadas criptográficas para la cadena de protección a la clave de Azure Information Protection. Por lo tanto, es posible que quiera minimizar la latencia de red que requieren estas llamadas mediante la creación del almacén de claves en la misma región o instancia de Azure que el inquilino de Azure Information Protection.
Para identificar la ubicación del inquilino de Azure Information Protection, use el cmdlet get-AipServiceConfiguration de PowerShell e identifique la región de las direcciones URL. Por ejemplo:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
La región es identificable de rms.na.aadrm.com y, para este ejemplo, se encuentra en Norteamérica.
En la tabla siguiente se enumeran las regiones y instancias de Azure recomendadas para minimizar la latencia de red:
Región o instancia de Azure | Ubicación recomendada para el almacén de claves |
---|---|
rms.na.aadrm.com | Centro-norte de EE. UU. o Este de EE. UU. |
rms.eu.aadrm.com | Norte de Europa y Oeste de Europa |
rms.ap.aadrm.com | Este de Asia o Sudeste Asiático |
rms.sa.aadrm.com | Oeste de EE. UU., Este de EE. UU. |
rms.govus.aadrm.com | Centro de EE. UU. o Este de EE. UU. 2 |
rms.aadrm.us | US Gov Virginia o US Gov Arizona |
rms.aadrm.cn | Este de China 2 o Norte de China 2 |
Creación y configuración de la clave
Importante
Para obtener información específica para los HSM administrados, consulte Habilitación de la autorización de claves para claves HSM administradas a través de la CLI de Azure.
Cree una instancia de Azure Key Vault y la clave que quiera usar para Azure Information Protection. Para más información, consulte la documentación de Azure Key Vault.
Tenga en cuenta lo siguiente para configurar Azure Key Vault y la clave para BYOK:
- Requisitos de longitud de clave
- Creación de una clave protegida con HSM en el entorno local y transferencia a su almacén de claves
- Configuración de Azure Information Protection con el id. de clave
- Autorización del servicio Azure Rights Management para usar la clave
Requisitos de longitud de clave
Al crear la clave, asegúrese de que la longitud de la clave sea de 2048 bits (recomendado) o 1024 bits. Azure Information Protection no admite otras longitudes de clave.
Nota:
Las claves de 1024 bits no se consideran un nivel adecuado de protección para las claves de inquilino activas.
Microsoft no aprueba el uso de longitudes de clave inferiores, como claves RSA de 1024 bits y el uso asociado de protocolos que ofrecen niveles de protección inadecuados, como SHA-1.
Creación de una clave protegida con HSM en el entorno local y transferencia a su almacén de claves
Para crear una clave protegida con HSM en el entorno local y transferirla al almacén de claves como una clave protegida por HSM, siga los procedimientos de la documentación de Azure Key Vault: Generación y transferencia de claves protegidas con HSM para Azure Key Vault.
Para que Azure Information Protection use la clave transferida, se deben permitir todas las operaciones de Key Vault para la clave, entre las que se incluyen:
- encrypt
- decrypt
- wrapKey
- unwrapKey
- sign
- verify
De forma predeterminada, se permiten todas las operaciones de Key Vault.
Para comprobar las operaciones permitidas para una clave específica, ejecute el siguiente comando de PowerShell:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
Si es necesario, agregue operaciones permitidas mediante Update-AzKeyVaultKey y el parámetro KeyOps.
Configuración de Azure Information Protection con el id. de clave
Las claves almacenadas en Azure Key Vault tienen cada una un identificador de clave.
El identificador de clave es una dirección URL que contiene el nombre del almacén de claves, el contenedor de claves, el nombre de la clave y la versión de la clave. Por ejemplo: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
Configure Azure Information Protection para que use la clave especificando su dirección URL del almacén de claves.
Autorización del servicio Azure Rights Management para usar la clave
El servicio Azure Rights Management debe estar autorizado para usar la clave. Los administradores de Azure Key Vault pueden habilitar esta autorización mediante Azure Portal o Azure PowerShell.
Habilitación de la autorización de claves mediante Azure Portal
Inicie sesión en Azure Portal y vaya a Almacenes de claves><nombre de su almacén de claves>>Directivas de acceso>Agregar nueva.
En el panel Agregar directiva de acceso, en el control Configurar desde plantilla (opcional), seleccione BYOK de Azure Information Protection y, a continuación, haga clic en Aceptar.
La plantilla seleccionada tiene la siguiente configuración:
- El valor Seleccionar entidad de seguridad se establece en Microsoft Rights Management Services.
- Los permisos de clave seleccionados incluyen Get, Decrypt y Sign.
Habilitación de la autorización de claves mediante PowerShell
Ejecute el cmdlet de PowerShell de Key Vault, Set-AzKeyVaultAccessPolicy y conceda permisos a la entidad de servicio de Azure Rights Management mediante el GUID 00000012-0000-0000-c000-000000000000.
Por ejemplo:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Habilitación de la autorización de claves para claves HSM administradas mediante la CLI de Azure
Para conceder a la entidad de servicio de Azure Rights Management permisos de usuario como usuario Crypto de HSM administrado, ejecute el siguiente comando:
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
Donde:
- ContosoMHSM es un nombre de HSM de ejemplo. Al ejecutar este comando, reemplace este valor por su propio nombre de HSM.
El rol de usuario Crypto de HSM administrado permite al usuario descifrar, firmar y obtener permisos para la clave, que son todos necesarios para la funcionalidad de HSM administrado.
Configuración de Azure Information Protection para usar su clave
Una vez que haya completado todos los pasos anteriores, estará listo para configurar Azure Information Protection para que use esta clave como clave de inquilino de la organización.
Mediante los cmdlets de Azure RMS, ejecute los siguientes comandos:
Conéctese al servicio Azure Rights Management e inicie sesión:
Connect-AipService
Ejecute el cmdlet Use-AipServiceKeyVaultKey y especifique la dirección URL de la clave. Por ejemplo:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
Importante
En este ejemplo,
<key-version>
es la versión de la clave que desea usar. Si no especifica la versión, la versión actual de la clave se usa de forma predeterminada y es posible que el comando parezca funcionar. Sin embargo, si la clave se actualiza o renueva más adelante, el servicio Azure Rights Management dejará de funcionar para el inquilino, incluso si vuelve a ejecutar el comando Use-AipServiceKeyVaultKey.Use el comando Get-AzKeyVaultKey según sea necesario para obtener el número de versión de la clave actual.
Por ejemplo:
Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'
Para confirmar que la dirección URL de la clave está configurada correctamente para Azure Information Protection, ejecute el comando Get-AzKeyVaultKey en Azure Key Vault para mostrar la dirección URL de la clave.
Si el servicio Azure Rights Management ya está activado, ejecute Set-AipServiceKeyProperties para indicar a Azure Information Protection que use esta clave como clave de inquilino activa para el servicio Azure Rights Management.
Azure Information Protection ahora está configurado para usar su clave en lugar de la clave creada por Microsoft predeterminada que se creó automáticamente para el inquilino.
Pasos siguientes
Una vez que haya configurado la protección BYOK, continúe con Introducción a la clave raíz del inquilino para obtener más información sobre el uso y la administración de la clave.