Saját kulcs (BYOK) adatainak megadása az Azure Information Protectionhez
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
A Microsoft Purview információvédelem ügyfél (a bővítmény nélkül) általánosan elérhető.
Az Azure Information Protection-előfizetéssel rendelkező szervezetek dönthetnek úgy, hogy bérlőjüket a Microsoft által generált alapértelmezett kulcs helyett saját kulccsal konfigurálják. Ennek a konfigurációnak az elterjedt megnevezése a Saját kulcs használata (BYOK).
A BYOK és a használatnaplózás zökkenőmentesen működik az Azure Information Protection által használt Azure Tartalomvédelmi szolgáltatások szolgáltatással integrálható alkalmazásokkal.
A támogatott alkalmazások a következők:
Felhőszolgáltatások, például a Microsoft SharePoint vagy a Microsoft 365
A Azure Tartalomvédelmi szolgáltatások szolgáltatást az RMS-összekötőn keresztül használó Exchange- és SharePoint-alkalmazásokat futtató helyszíni szolgáltatások
Ügyfélalkalmazások, például az Office 2019, az Office 2016 és az Office 2013
Tipp.
Szükség esetén további biztonsági beállításokat alkalmazhat adott dokumentumokra egy további helyszíni kulccsal. További információ: Double Key Encryption (DKE) protection (csak egyesített címkézési ügyfél).
Azure Key Vault kulcstároló
Az ügyfél által létrehozott kulcsokat az Azure Key Vaultban kell tárolni a BYOK-védelemhez.
Feljegyzés
A HSM által védett kulcsok Használata az Azure Key Vaultban prémium szintű Azure Key Vault szolgáltatásszintet igényel, amely további havi előfizetési díjat von maga után.
Kulcstartók és előfizetések megosztása
Javasoljuk, hogy használjon dedikált kulcstartót a bérlőkulcshoz. A dedikált kulcstartók segítségével biztosítható, hogy más szolgáltatások hívásai ne okozzák a szolgáltatáskorlátok túllépésének okát. A bérlőkulcs tárolására szolgáló kulcstartó szolgáltatási korlátainak túllépése válaszidő-szabályozást okozhat Azure Tartalomvédelmi szolgáltatások szolgáltatás esetében.
Mivel a különböző szolgáltatások eltérő kulcskezelési követelményekkel rendelkeznek, a Microsoft azt is javasolja, hogy dedikált Azure-előfizetést használjon a kulcstartóhoz. Dedikált Azure-előfizetések:
Segítség a helytelen konfigurációk elleni védelemhez
Biztonságosabbak, ha a különböző szolgáltatások különböző rendszergazdákat használnak
Ha meg szeretne osztani egy Azure-előfizetést az Azure Key Vaultot használó más szolgáltatásokkal, győződjön meg arról, hogy az előfizetés közös rendszergazdai csoportot használ. Ha meggyőződik arról, hogy az előfizetést használó összes rendszergazda tisztában van az összes elérhető kulccsal, kevésbé valószínű, hogy helytelenül konfigurálják a kulcsokat.
Példa: Megosztott Azure-előfizetés használata, ha az Azure Information Protection-bérlőkulcs rendszergazdái ugyanazok a személyek, akik online felügyelik az Office 365 ügyfélkulcsához és a CRM-hez tartozó kulcsait. Ha a szolgáltatások fő rendszergazdái eltérőek, javasoljuk, hogy dedikált előfizetéseket használjunk.
Az Azure Key Vault használatának előnyei
Az Azure Key Vault központosított és konzisztens kulcskezelési megoldást biztosít számos felhőalapú és helyszíni, titkosítást használó szolgáltatáshoz.
A kulcsok kezelése mellett az Azure Key Vault ugyanazt a felügyeleti felületet kínálja a biztonsági rendszergazdáknak a tanúsítványok és titkos kódok (például jelszavak) tárolásához, eléréséhez és kezeléséhez más, titkosítást használó szolgáltatásokhoz és alkalmazásokhoz.
A bérlőkulcs Azure Key Vaultban való tárolása a következő előnyöket biztosítja:
Előny | Leírás |
---|---|
Beépített interfészek | Az Azure Key Vault számos beépített felületet támogat a kulcskezeléshez, beleértve a PowerShellt, a CLI-t, a REST API-kat és az Azure Portalt. Más szolgáltatások és eszközök integrálva lettek a Key Vaulttal, hogy optimalizált képességeket biztosítsunk bizonyos feladatokhoz, például a monitorozáshoz. Elemezheti például a kulcshasználati naplókat az Operations Management Suite Log Analytics használatával, riasztásokat állíthat be a megadott feltételek teljesülése esetén, és így tovább. |
Szerepkörök elkülönítése | Az Azure Key Vault elismert biztonsági ajánlott eljárásként biztosítja a szerepkörök elkülönítését. A szerepkörök elkülönítése biztosítja, hogy az Azure Information Protection-rendszergazdák a legmagasabb prioritásaikra összpontosíthassanak, beleértve az adatbesorolás és -védelem kezelését, valamint a titkosítási kulcsokat és szabályzatokat az adott biztonsági vagy megfelelőségi követelményekhez. |
Főkulcs helye | Az Azure Key Vault számos helyen elérhető, és olyan korlátozásokkal rendelkező szervezeteket támogat, ahol a főkulcsok lakhatnak. További információkért tekintse meg az Azure-webhely régiónként elérhető termékeit. |
Különálló biztonsági tartományok | Az Azure Key Vault különálló biztonsági tartományokat használ adatközpontjaihoz olyan régiókban, mint a Észak-Amerika, az EMEA (Európa, Közel-Kelet és Afrika) és Ázsia. Az Azure Key Vault az Azure különböző példányait is használja, például a Microsoft Azure Germanyet és az Azure Governmentt. |
Egységesített felület | Az Azure Key Vault emellett lehetővé teszi a biztonsági rendszergazdák számára a tanúsítványok és titkos kódok, például jelszavak tárolását, elérését és kezelését más, titkosítást használó szolgáltatások esetében. Az Azure Key Vault bérlőkulcsokhoz való használata zökkenőmentes felhasználói élményt nyújt az összes ilyen elemet kezelő rendszergazdák számára. |
A legújabb frissítésekért és az Azure Key Vault más szolgáltatások általi használatáról az Azure Key Vault csapatblogján tájékozódhat.
Használati naplózás a BYOK-hoz
A használati naplókat minden olyan alkalmazás hozza létre, amely kéréseket küld a Azure Tartalomvédelmi szolgáltatások szolgáltatásnak.
Bár a használatnaplózás nem kötelező, javasoljuk, hogy az Azure Information Protection közel valós idejű használati naplóit használva pontosan lássa, hogyan és mikor használja a bérlőkulcsot.
A BYOK kulcshasználatának naplózásával kapcsolatos további információkért lásd az Azure Information Protection védelmi használatának naplózását és elemzését.
Tipp.
További biztosítékként az Azure Information Protection használatnaplózására az Azure Key Vault naplózásával lehet hivatkozni. A Key Vault-naplók megbízható módszert biztosítanak annak független figyelésére, hogy a kulcsot csak Azure Tartalomvédelmi szolgáltatások szolgáltatás használja.
Ha szükséges, azonnal vonja vissza a kulcshoz való hozzáférést a kulcstartó engedélyeinek eltávolításával.
A kulcs létrehozásának és tárolásának lehetőségei
Feljegyzés
A felügyelt HSM-ajánlatról, valamint a tárolók és kulcsok beállításáról az Azure Key Vault dokumentációjában talál további információt.
A kulcsengedélyezés megadására vonatkozó további utasításokat az alábbiakban ismertetjük.
A BYOK támogatja az Azure Key Vaultban vagy a helyszínen létrehozott kulcsokat.
Ha a kulcsot a helyszínen hozza létre, át kell vinnie vagy importálnia kell a Key Vaultba, és konfigurálnia kell az Azure Information Protectiont a kulcs használatára. További kulcskezelést végezhet az Azure Key Vaultból.
A saját kulcs létrehozásának és tárolásának lehetőségei:
Az Azure Key Vaultban készült. A kulcs létrehozása és tárolása az Azure Key Vaultban HSM által védett kulcsként vagy szoftveres védelemmel ellátott kulcsként.
Helyszíni létrehozás. Hozza létre a kulcsot a helyszínen, és helyezze át az Azure Key Vaultba az alábbi lehetőségek egyikével:
HSM által védett kulcs, HSM által védett kulcsként továbbítva. A legjellemzőbb módszer.
Bár ez a módszer a legtöbb adminisztrációs többletterheléssel rendelkezik, előfordulhat, hogy a szervezetnek bizonyos előírásokat kell követnie. Az Azure Key Vault által használt HSM-ek FIPS 140-érvényesítéssel rendelkeznek.
Az Azure Key Vaultba HSM által védett kulcsként konvertált és átvitt szoftveres védelem alatt álló kulcs. Ez a módszer csak az Active Directory Rights Management Services (AD RMS) szolgáltatásból való migráláskor támogatott.
A helyszínen szoftveres védelem alatt álló kulcsként hozták létre, és szoftveres védelem alatt álló kulcsként továbbítják az Azure Key Vaultba. Ehhez a metódushoz egy . PFX-tanúsítványfájl.
Például tegye a következőket a helyszínen létrehozott kulcs használatához:
Hozza létre a bérlőkulcsot a helyszínen, a szervezet informatikai és biztonsági szabályzataival összhangban. Ez a kulcs a mesterpéldány. A rendszer a helyszínen marad, és a biztonsági mentéséhez szükség van rá.
Hozzon létre egy másolatot a főkulcsról, és biztonságosan helyezze át azt a HSM-ből az Azure Key Vaultba. A folyamat során a kulcs főpéldánya soha nem hagyja el a hardvervédelmi határt.
Az átvitelt követően a kulcs másolatát az Azure Key Vault védi.
Megbízható közzétételi tartomány exportálása
Ha valaha is úgy dönt, hogy abbahagyja az Azure Information Protection használatát, egy megbízható közzétételi tartományra (TPD) lesz szüksége az Azure Information Protection által védett tartalmak visszafejtéséhez.
A TPD exportálása azonban nem támogatott, ha BYOK-ot használ az Azure Information Protection-kulcshoz.
A forgatókönyvre való felkészüléshez mindenképpen előre hozzon létre egy megfelelő TPD-t. További információ: Azure Information Protection "Cloud Exit" csomag előkészítése.
BYOK implementálása az Azure Information Protection-bérlőkulcshoz
A BYOK implementálásához kövesse az alábbi lépéseket:
- A BYOK előfeltételeinek áttekintése
- Key Vault-hely kiválasztása
- A kulcs létrehozása és konfigurálása
A BYOK előfeltételei
A BYOK előfeltételei a rendszerkonfigurációtól függően eltérőek lehetnek. Ellenőrizze, hogy a rendszer megfelel-e a következő előfeltételeknek, ha szükséges:
Követelmény | Leírás |
---|---|
Azure-előfizetés | Minden konfigurációhoz szükséges. További információ: Annak ellenőrzése, hogy RENDELKEZik-e BYOK-kompatibilis Azure-előfizetéssel. |
AIPService PowerShell-modul az Azure Information Protectionhez | Minden konfigurációhoz szükséges. További információ: Az AIPService PowerShell-modul telepítése. |
Az Azure Key Vault előfeltételei a BYOK-hoz | Ha a helyszínen létrehozott HSM által védett kulcsot használ, győződjön meg arról, hogy megfelel az Azure Key Vault dokumentációjában felsorolt BYOK előfeltételeinek is. |
Thales belső vezérlőprogram 11.62-es verziója | Ha az AD RMS-ből az Azure Information Protectionbe szoftverkulcsot használva hardverkulcsot használ, és Thales belső vezérlőprogramot használ a HSM-hez, a 11.62-es Thales belső vezérlőprogrammal kell rendelkeznie. |
Tűzfal megkerülése megbízható Microsoft-szolgáltatások | Ha a bérlőkulcsot tartalmazó kulcstartó virtuális hálózati szolgáltatásvégpontokat használ az Azure Key Vaulthoz, engedélyeznie kell a megbízható Microsoft-szolgáltatások, hogy megkerülje ezt a tűzfalat. További információ: Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai. |
Annak ellenőrzése, hogy RENDELKEZik-e BYOK-kompatibilis Azure-előfizetéssel
Az Azure Information Protection-bérlőnek Azure-előfizetéssel kell rendelkeznie. Ha még nem rendelkezik ilyennel, regisztrálhat egy ingyenes fiókra. A HSM által védett kulcsok használatához azonban rendelkeznie kell az Azure Key Vault Premium szolgáltatási szinttel.
Az ingyenes Azure-előfizetés, amely hozzáférést biztosít a Microsoft Entra konfigurációhoz és Azure Tartalomvédelmi szolgáltatások egyéni sablonkonfigurációhoz, nem elegendő az Azure Key Vault használatához.
Annak ellenőrzéséhez, hogy rendelkezik-e a BYOK-tal kompatibilis Azure-előfizetéssel, az alábbiakkal ellenőrizheti az Azure PowerShell-parancsmagok használatával:
Azure PowerShell-munkamenet indítása rendszergazdaként.
Jelentkezzen be globális rendszergazdaként az Azure Information Protection-bérlőjéhez a használatával
Connect-AzAccount
.Másolja a megjelenő jogkivonatot a vágólapra. Ezután egy böngészőben nyissa meg https://microsoft.com/devicelogin és írja be a másolt jogkivonatot.
További információ: Bejelentkezés az Azure PowerShell-lel.
A PowerShell-munkamenetben adja meg
Get-AzSubscription
, és ellenőrizze, hogy a következő értékek jelennek-e meg:- Az előfizetés neve és azonosítója
- Az Azure Information Protection-bérlő azonosítója
- Annak megerősítése, hogy az állapot engedélyezve van
Ha nem jelennek meg értékek, és a rendszer visszaadja a kérésnek, nem rendelkezik a BYOK-hoz használható Azure-előfizetéssel.
A kulcstartó helyének kiválasztása
Amikor létrehoz egy kulcstartót, amely tartalmazza az Azure Information bérlőkulcsaként használandó kulcsot, meg kell adnia egy helyet. Ez a hely egy Azure-régió vagy Azure-példány.
Először a megfelelőséget, majd a hálózati késés minimalizálását válassza:
Ha megfelelőségi okokból a BYOK kulcsmetódusát választotta, ezek a megfelelőségi követelmények azt is előírhatják, hogy melyik Azure-régió vagy -példány használható az Azure Information Protection-bérlőkulcs tárolására.
Minden titkosítási hívás az Azure Information Protection-kulcs védelmi láncát kéri. Ezért érdemes lehet minimalizálni a hívásokhoz szükséges hálózati késést úgy, hogy a kulcstartót ugyanabban az Azure-régióban vagy -példányban hozza létre, mint az Azure Information Protection-bérlő.
Az Azure Information Protection-bérlő helyének azonosításához használja a Get-AipServiceConfiguration PowerShell-parancsmagot, és azonosítsa a régiót az URL-címekről. Példa:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
A régió azonosítható a rms.na.aadrm.com alapján, és ebben a példában Észak-Amerika.
Az alábbi táblázat az ajánlott Azure-régiókat és -példányokat sorolja fel a hálózati késés minimalizálása érdekében:
Azure-régió vagy -példány | A kulcstartó ajánlott helye |
---|---|
Rms.na.aadrm.com | USA északi középső régiója vagy az USA keleti régiója |
Rms.eu.aadrm.com | Észak-Európa vagy Nyugat-Európa |
Rms.ap.aadrm.com | Kelet-Ázsia vagy Délkelet-Ázsia |
Rms.sa.aadrm.com | USA nyugati régiója vagy AZ USA keleti régiója |
Rms.govus.aadrm.com | USA középső régiója vagy USA 2. keleti régiója |
Rms.aadrm.us | US Gov Virginia vagy US Gov Arizona |
Rms.aadrm.cn | Kelet-Kína 2 vagy Észak-Kína 2 |
A kulcs létrehozása és konfigurálása
Fontos
A felügyelt HSM-ekkel kapcsolatos információkért lásd : A felügyelt HSM-kulcsok kulcsengedélyezésének engedélyezése az Azure CLI-vel.
Hozzon létre egy Azure Key Vaultot és az Azure Information Protectionhez használni kívánt kulcsot. További információkért tekintse meg az Azure Key Vault dokumentációját.
Az Azure Key Vault és a kulcs BYOK-hoz való konfigurálásához vegye figyelembe az alábbiakat:
- A kulcshosszra vonatkozó követelmények
- HSM által védett kulcs létrehozása a helyszínen és átvitele a kulcstartóba
- Az Azure Information Protection konfigurálása a kulcsazonosítóval
- A Azure Tartalomvédelmi szolgáltatások szolgáltatás engedélyezése a kulcs használatára
A kulcshosszra vonatkozó követelmények
A kulcs létrehozásakor győződjön meg arról, hogy a kulcs hossza 2048 bit (ajánlott) vagy 1024 bit. Az Azure Information Protection nem támogatja az egyéb kulcshosszokat.
Feljegyzés
Az 1024 bites kulcsok nem tekinthetők megfelelő szintű védelemnek az aktív bérlőkulcsok számára.
A Microsoft nem támogatja az alacsonyabb kulcshosszok, például az 1024 bites RSA-kulcsok használatát, valamint a nem megfelelő szintű védelmet nyújtó protokollok, például az SHA-1 használatát.
HSM által védett kulcs létrehozása a helyszínen és átvitele a kulcstartóba
Ha HSM által védett kulcsot szeretne létrehozni a helyszínen, és HSM által védett kulcsként át szeretné vinni a kulcstartóba, kövesse az Azure Key Vault dokumentációjának eljárásait: HSM által védett kulcsok létrehozása és átvitele az Azure Key Vaulthoz.
Ahhoz, hogy az Azure Information Protection az átvitt kulcsot használja, minden Key Vault-műveletnek engedélyezve kell lennie a kulcshoz, beleértve a következőket:
- encrypt
- Visszafejteni
- wrapKey
- unwrapKey
- Jel
- Ellenőrizze
Alapértelmezés szerint minden Key Vault-művelet engedélyezett.
Egy adott kulcs engedélyezett műveleteinek ellenőrzéséhez futtassa a következő PowerShell-parancsot:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
Ha szükséges, adjon hozzá engedélyezett műveleteket az Update-AzKeyVaultKey és a KeyOps paraméter használatával.
Az Azure Information Protection konfigurálása a kulcsazonosítóval
Az Azure Key Vaultban tárolt kulcsok mindegyike rendelkezik kulcsazonosítóval.
A kulcsazonosító egy URL-cím, amely tartalmazza a kulcstartó nevét, a kulcstárolót, a kulcs nevét és a kulcs verzióját. Például: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
Konfigurálja az Azure Information Protectiont a kulcs használatára a kulcstartó URL-címének megadásával.
A Azure Tartalomvédelmi szolgáltatások szolgáltatás engedélyezése a kulcs használatára
A Azure Tartalomvédelmi szolgáltatások szolgáltatásnak jogosultnak kell lennie a kulcs használatára. Az Azure Key Vault rendszergazdái az Azure Portalon vagy az Azure PowerShellben engedélyezhetik ezt az engedélyezést.
Kulcsengedélyezés engedélyezése az Azure Portalon
Jelentkezzen be az Azure Portalra, és lépjen a Kulcstartókra><, és nyissa meg a kulcstartó nevét>>, és adja>hozzá az újat.
A Hozzáférési szabályzat hozzáadása panel Konfigurálás sablonból (nem kötelező) listájából válassza az Azure Information Protection BYOK lehetőséget, majd kattintson az OK gombra.
A kijelölt sablon a következő konfigurációval rendelkezik:
- A Select principal érték a Microsoft Rights Management Services értékre van állítva.
- A kiválasztott kulcsengedélyek közé tartozik a Beolvasás, a Visszafejtés és a Sign.
Kulcsengedélyezés engedélyezése a PowerShell használatával
Futtassa a Key Vault PowerShell-parancsmagot, a Set-AzKeyVaultAccessPolicy parancsmagot, és adjon engedélyeket a Azure Tartalomvédelmi szolgáltatások szolgáltatásnévnek a GUID 00000012-0000-0000-c000-00000000000 guid használatával.
Példa:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
A felügyelt HSM-kulcsok kulcsengedélyezésének engedélyezése az Azure CLI-vel
Ha a Azure Tartalomvédelmi szolgáltatások szolgáltatásnév felhasználói engedélyeit felügyelt HSM-titkosítási felhasználóként szeretné megadni, futtassa a következő parancsot:
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
Ahol:
- A ContosoMHSM egy HSM-mintanév . A parancs futtatásakor cserélje le ezt az értéket a saját HSM-nevére.
A felügyelt HSM titkosítási felhasználói szerepkör lehetővé teszi, hogy a felhasználó visszafejtse, aláírja és engedélyeket szerezzen a kulcshoz, amelyek mind szükségesek a felügyelt HSM-funkciókhoz.
Az Azure Information Protection konfigurálása a kulcs használatára
Miután elvégezte a fenti lépéseket, készen áll arra, hogy konfigurálja az Azure Information Protectiont, hogy ezt a kulcsot használja a szervezet bérlőkulcsaként.
Az Azure RMS-parancsmagok használatával futtassa a következő parancsokat:
Csatlakozás a Azure Tartalomvédelmi szolgáltatások szolgáltatásba, és jelentkezzen be:
Connect-AipService
Futtassa a Use-AipServiceKeyVaultKey parancsmagot a kulcs URL-címének megadásával. Példa:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
Fontos
Ebben a példában
<key-version>
a használni kívánt kulcs verziója látható. Ha nem adja meg a verziót, a rendszer alapértelmezés szerint a kulcs aktuális verzióját használja, és úgy tűnhet, hogy a parancs működik. Ha azonban a kulcs később frissül vagy megújul, a Azure Tartalomvédelmi szolgáltatások szolgáltatás nem fog működni a bérlője számára, még akkor is, ha újra futtatja a Use-AipServiceKeyVaultKey parancsot.Az aktuális kulcs verziószámának lekéréséhez szükség szerint használja a Get-AzKeyVaultKey parancsot.
Például:
Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'
Annak ellenőrzéséhez, hogy a kulcs URL-címe helyesen van-e beállítva az Azure Information Protectionhez, futtassa a Get-AzKeyVaultKey parancsot az Azure Key Vaultban a kulcs URL-címének megjelenítéséhez.
Ha a Azure Tartalomvédelmi szolgáltatások szolgáltatás már aktiválva van, futtassa a Set-AipServiceKeyProperties parancsot, hogy az Azure Information Protection az Azure Tartalomvédelmi szolgáltatások szolgáltatás aktív bérlőkulcsaként használja ezt a kulcsot.
Az Azure Information Protection mostantól úgy van konfigurálva, hogy a kulcsát használja a bérlőhöz automatikusan létrehozott alapértelmezett Microsoft által létrehozott kulcs helyett.
Következő lépések
Miután konfigurálta a BYOK-védelmet, folytassa a bérlő gyökérkulcsának használatbavételével és kezelésével kapcsolatos további információkért.