¿Qué es el cifrado de doble clave (DKE)?

Se aplica a: Cifrado de clave doble de Microsoft Purview, Microsoft Purview, Azure Information Protection

Descripción del servicio para: Microsoft Purview

El cifrado de doble clave (DKE) le permite proteger los datos altamente confidenciales para satisfacer los requisitos especializados. DKE le permite mantener el control total de las claves de cifrado. Usa dos claves para proteger los datos; una clave en el control y una segunda clave que se almacena de forma segura en Microsoft Azure. Mantenga el control total de una de las claves mediante el servicio de cifrado de claves dobles. La visualización de datos protegidos con el cifrado de doble clave requiere acceso a ambas claves. Dado que los servicios de Microsoft solo pueden acceder a la clave almacenada en Azure Key Vault, los datos protegidos siguen siendo inaccesibles para Microsoft, lo que garantiza que tiene control total sobre la privacidad y la seguridad de los datos.

DKE le ayuda a cumplir los requisitos normativos en varias regulaciones y estándares, como el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad de Seguros De Salud (HIPAA), la Ley Gramm-Leach-Bliley (GLBA), la Ley de localización de datos de Rusia – Ley Federal Nº 242-FZ, la Ley Federal de Privacidad de Australia de 1988 y la Ley de Privacidad de Nueva Zelanda de 1993.

Después de configurar el servicio DKE y las claves, aplica protección al contenido altamente confidencial mediante el etiquetado de confidencialidad integrado en aplicaciones de Office.

Para obtener información sobre el uso de DKE con aplicaciones de Office, vea las tablas de funcionalidades y la fila Cifrado de doble clave (DKE).

Precaución

Puede seguir usando Azure Information Protection cliente de etiquetado unificado por ahora, pero este método quedará en desuso en el futuro.

Escenarios de implementación admitidos

DKE admite varias configuraciones diferentes, incluidas las implementaciones locales y en la nube. Estas implementaciones ayudan a garantizar que los datos cifrados permanezcan opacos dondequiera que los almacene.

Puede hospedar el servicio de cifrado de claves doble que se usa para solicitar la clave en una ubicación de su elección (servidor de administración de claves local o en la nube). El servicio se mantiene como lo haría con cualquier otra aplicación. El cifrado de doble clave le permite controlar el acceso al servicio de cifrado de claves dobles. Puede almacenar los datos altamente confidenciales en el entorno local o moverlos a la nube. El cifrado de doble clave proporciona el control para almacenar los datos y la clave en la misma ubicación geográfica.

Para obtener más información sobre las claves raíz de inquilino predeterminadas basadas en la nube, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Cuándo la organización debe adoptar DKE

DKE no es para todas las organizaciones ni para todos los datos. Supongamos que un panorama de datos organizativo típico tiene la siguiente estructura:

  • Datos sin sentido (aproximadamente el 80 % de los datos): la mayoría de los datos de una organización pertenecen a esta categoría. No hay problemas ni problemas con el traslado de estos datos a la nube hoy en día. Mover estos datos a la nube puede ser beneficioso y la organización puede usar la seguridad integrada en la nube.

  • Confidencial (alrededor del 15 % de los datos): los datos confidenciales deben protegerse. La organización espera que el proveedor de servicios en la nube proporcione seguridad y, al mismo tiempo, mejore la productividad de esta categoría de datos para que puedan cumplir con las normativas de cumplimiento. Quiere asegurarse de que estos datos se etiquetan correctamente con Microsoft Purview Information Protection y que están protegidos con directivas de control de acceso y retención y auditoría.

  • Altamente confidencial (alrededor del 5 % de los datos): este conjunto es la joya de la corona de la organización y debe estar fuertemente protegido. La organización no quiere que nadie, incluido un proveedor de servicios en la nube, tenga acceso a estos datos. Esta categoría de datos también puede tener requisitos normativos para tener las claves en la misma región geográfica que los datos. Es posible que las claves también tengan que estar bajo la estricta custodia de la organización. Este contenido tiene la clasificación más alta de su organización ("Top Secret") y el acceso está restringido a unas pocas personas. Los datos altamente confidenciales son los que buscan los usuarios malintencionados. La pérdida de estos datos puede dañar la reputación de la organización y romper la confianza con sus clientes.

Como se mencionó, el cifrado de doble clave está diseñado para los datos más confidenciales que están sujetos a los requisitos de protección más estrictos. Debe realizar la debida diligencia en la identificación de los datos adecuados para cubrir con esta solución antes de realizar la implementación. En algunos casos, es posible que tenga que restringir el ámbito y usar otras soluciones. Por ejemplo, para la mayoría de los datos, considere la posibilidad de Microsoft Purview Information Protection con claves administradas por Microsoft o traiga su propia clave (BYOK). Estas soluciones son suficientes para documentos que no están sujetos a protecciones mejoradas y requisitos normativos. Además, estas soluciones le permiten usar los servicios de Microsoft 365 más eficaces; servicios que no se pueden usar con contenido cifrado DKE. Por ejemplo:

  • Reglas de flujo de correo, incluidos el antimalware y el correo no deseado que requieren visibilidad de los datos adjuntos
  • Microsoft Delve
  • eDiscovery
  • Búsqueda e indexación de contenido
  • Office Web Apps incluida la funcionalidad de coautoría
  • Copiloto

Las aplicaciones o servicios externos que no están integrados con DKE a través del SDK de Microsoft Information Protection no pueden realizar acciones en los datos cifrados.

Los datos cifrados DKE no son accesibles en reposo para los servicios de Microsoft 365, incluido Copilot. Mientras usa los datos cifrados DKE en Office, copilot sigue sin tener acceso a los datos y no puede usar Copilot en las aplicaciones mientras usa datos cifrados DKE. Sin embargo, si configura el inquilino para "Permitir el uso de experiencias conectadas que analizan contenido", los datos son accesibles para los servicios conectados que analizan el contenido, pero solo mientras lo usa. Para obtener más información sobre esta configuración de privacidad, consulte Configuración de directivas para experiencias conectadas que analizan contenido. Puede configurar la configuración para todo el inquilino o permitir que los usuarios la establezcan por sí mismos individualmente.

Microsoft Information Protection SDK 1.7+ admite el cifrado de doble clave. Las aplicaciones que se integran con nuestro SDK pueden razonar sobre estos datos con permisos e integraciones suficientes.

Use Microsoft Purview Information Protection funcionalidades (clasificación y etiquetado) para proteger la mayoría de los datos confidenciales y solo use DKE para los datos críticos. El cifrado de doble clave es relevante para los datos confidenciales en sectores altamente regulados, como los servicios financieros y la atención sanitaria.

Si las organizaciones tienen cualquiera de los siguientes requisitos, puede usar DKE para proteger el contenido:

  • No quiere que Microsoft tenga acceso a datos protegidos por sí mismo.
  • Tiene requisitos normativos para contener claves dentro de un límite geográfico. Todas las claves que contiene para el cifrado y descifrado de datos se mantienen en el centro de datos.

Flujo de trabajo de cifrado DKE

Esta sección divide el flujo de trabajo en pasos independientes para ilustrar cómo se usan dos claves para proteger un documento de Office.

Paso 1: Arranque

Un diagrama muestra el paso 1 del flujo de trabajo de cifrado para DKE, arranque.

El cliente de Microsoft Office realiza tareas de configuración de inicio y envía solicitudes e información al servicio azure Information Protection. Este proceso también se denomina arranque. Las tareas incluyen autorizar al usuario mediante Microsoft Entra ID, descargar certificados y plantillas, etc. Las tareas de arranque son tareas de inicio y conexión por primera vez que proporcionan al usuario acceso a las directivas de protección del servicio Azure Rights Management.

Paso 2: Recopilar y almacenar en caché la clave pública de Azure Information Protection

Un diagrama muestra el paso 2 del flujo de trabajo de cifrado para DKE, recopila y almacena en caché la clave pública de Azure.

La aplicación de Office recupera la clave pública de la Key Vault de Azure en el servicio de protección de la información en función del usuario autorizado que usa Microsoft Entra ID. Una vez recopilada, el cliente almacena en caché la clave durante 30 días de forma predeterminada. Una vez almacenado en caché, el cliente no tiene que arrancar en Azure Information Protection de nuevo hasta que expire la clave. Como administrador, puede configurar un período de almacenamiento en caché diferente en Azure Information Protection. Debe establecer un período de caché para esta clave o aceptar el valor predeterminado de 30 días. Sin un período de caché, la publicación sin conexión no funciona.

Paso 3: Solicitud de la clave pública DKE

Un diagrama muestra el paso 3 del flujo de trabajo de cifrado para DKE, solicitar la clave pública DKE.

El cliente de Office solicita la otra clave pública del servicio de cifrado de claves dobles en función del usuario autorizado que usa Microsoft Entra ID.

Paso 4: Recopilar y almacenar en caché la clave DKE

Un diagrama muestra el paso 4 del flujo de trabajo de cifrado para DKE, recopila y almacena en caché la clave pública DKE.

El servicio de cifrado de doble clave envía esta clave pública al cliente de Office. El cliente almacena en caché la clave en el dispositivo durante el tiempo que la haya configurado. A diferencia de la clave de Azure,

  • No es necesario configurar un período de caché para la clave hospedada por el servicio de cifrado de claves dobles.

  • Si quiere configurar un período de caché, puede configurarlo al implementar el servicio de cifrado de doble clave o después de implementarlo.

Paso 5: Proteger el documento con la clave DKE

Un diagrama muestra el paso 5 del flujo de trabajo de cifrado para DKE y protege el documento con la clave DKE.

El cliente de Microsoft Office cifra la parte de los metadatos que controla el acceso al contenido mediante la clave pública que se recuperó del servicio de cifrado de claves dobles.

Paso 6: Protección del documento con la clave de Azure

Un diagrama muestra el paso 6 del flujo de trabajo de cifrado para DKE y protege el documento con la clave de Azure.

El cliente de Microsoft Office cifra la parte ya cifrada de los metadatos del documento con la clave pública de Azure.

Los datos ahora están protegidos con ambas claves.

Requisitos del sistema y de licencias para DKE

En esta sección se detallan los requisitos de configuración y del sistema cliente y del servidor que se deben cumplir para poder implementar correctamente DKE en el entorno.

requisitos de licencia para DKE

El cifrado de clave doble incluye Microsoft 365 E5. Si no tiene una licencia de Microsoft 365 E5, puede registrarse para obtener una prueba. Para obtener más información sobre estas licencias, consulte Guía de licencias de Microsoft 365 para el cumplimiento de & seguridad.

Azure Information Protection es necesario para DKE

DKE funciona con etiquetas de confidencialidad y requiere el servicio azure Information Protection para el cifrado.

El uso del etiquetado integrado en aplicaciones de Office es el método recomendado. Para obtener información sobre la compatibilidad integrada con el etiquetado de confidencialidad en Word, Excel, PowerPoint y Outlook, vea las tablas de funcionalidades y la fila Cifrado de doble clave (DKE).

Requisitos de Cliente de etiquetado unificado de Azure Information Protection y Aplicaciones de Office para escritorio para DKE

Si decide usar el cliente de etiquetado y la combinación de Aplicaciones de Office para escritorio en lugar del método de etiquetado integrado, use la siguiente información. Este método quedará en desuso en el futuro.

  • Unified Labeling Client versión 2.15.33.0 o posterior. Descargue e instale el cliente de etiquetado unificado desde el centro de descarga de Microsoft.

  • Microsoft Office Apps para requisitos empresariales para DKE con el cliente de etiquetado de AIP versión 2009 o posterior (versiones de escritorio de Word, Excel, PowerPoint y Outlook) en Windows.

DKE en equipos cliente

Los usuarios aplican etiquetas de confidencialidad de DKE a través de estas interfaces.

  • Etiquetado de confidencialidad integrado en aplicaciones de Office

  • El botón de confidencialidad del cliente de etiquetado unificado de AIP en Aplicaciones de escritorio de Office (este método dejará de usarse en el futuro)

  • Explorador de archivos haga clic con el botón derecho

  • AIP PowerShell

  • Escáner de AIP

Instale los requisitos previos en cada equipo cliente donde quiera proteger y consumir documentos protegidos.

Entornos admitidos para almacenar y ver contenido protegido por DKE

Aplicaciones admitidas. Aplicaciones Microsoft 365 para empresas clientes en Windows, incluidos Word, Excel, PowerPoint y Outlook.

Compatibilidad con contenido en línea. Puede almacenar documentos y archivos protegidos con el cifrado de doble clave en línea en SharePoint y OneDrive. Debe etiquetar y proteger documentos y archivos con DKE mediante aplicaciones admitidas antes de cargarlos en estas ubicaciones. Puede compartir contenido cifrado por correo electrónico, pero no puede ver documentos y archivos cifrados en línea. En su lugar, debe ver el contenido protegido mediante las aplicaciones de escritorio y los clientes admitidos en el equipo local. Microsoft no tiene acceso a la clave que controla en el servicio DKE. Sin ambas claves, Microsoft 365 no puede representar el contenido en un explorador. Por lo tanto, los documentos cifrados DKE no funcionan con Microsoft Office en línea. Todavía puede cargar documentos cifrados en SharePoint o OneDrive; sin embargo, los documentos son blobs cifrados en SharePoint y OneDrive.

Escenarios de etiquetado fuera de las aplicaciones de Office. Aplique etiquetas DKE fuera de las aplicaciones de Office mediante el Explorador de archivos "Clasificar & Proteger" haga clic con el botón derecho, los cmdlets de PowerShell de AIP o el analizador de AIP por parte de los administradores.

Solo cifrado y no reenviar escenarios. Cifrar solo y No reenviar no se admiten con DKE.