Ügyfél által felügyelt: Bérlőkulcs életciklus-műveletei
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
A Microsoft Purview információvédelem ügyfél (a bővítmény nélkül) általánosan elérhető.
Ha az Azure Information Protection bérlőkulcsát kezeli (a saját kulcs vagy a BYOK forgatókönyv), az alábbi szakaszokban további információt talál a topológiához kapcsolódó életciklus-műveletekről.
A bérlőkulcs visszavonása
Nagyon kevés olyan eset van, amikor újrakulcsolás helyett vissza kell vonnia a kulcsot. A kulcs visszavonása után a bérlő által a kulcs használatával védett összes tartalom elérhetetlenné válik mindenki számára (beleértve a Microsoftot, a globális rendszergazdákat és a felügyelő felhasználókat), kivéve, ha rendelkezik a visszaállítható kulcs biztonsági másolatával. A kulcs visszavonása után nem tudja megvédeni az új tartalmakat, amíg nem hoz létre és konfigurál egy új bérlőkulcsot az Azure Information Protectionhez.
Az ügyfél által felügyelt bérlőkulcs visszavonásához az Azure Key Vaultban módosítsa az Azure Information Protection-bérlőkulcsot tartalmazó kulcstartó engedélyeit, hogy a Azure Tartalomvédelmi szolgáltatások szolgáltatás többé ne férhessen hozzá a kulcshoz. Ez a művelet hatékonyan visszavonja az Azure Information Protection bérlőkulcsát.
Amikor lemondja az Azure Information Protection-előfizetését, az Azure Information Protection nem használja a bérlőkulcsot, és önnek nincs szükség műveletre.
A bérlőkulcs újrakulcsolása
Az újrakulcsolást a kulcs gördítésének is nevezik. Amikor ezt a műveletet hajtja végre, az Azure Information Protection leállítja a meglévő bérlőkulcs használatát a dokumentumok és e-mailek védelme érdekében, és elkezd egy másik kulcsot használni. A szabályzatok és sablonok azonnal lemondanak, de ez az átállás fokozatosan történik az Azure Information Protectiont használó meglévő ügyfelek és szolgáltatások esetében. Így egy ideig néhány új tartalom továbbra is védett a régi bérlői kulccsal.
Az újrakulcsoláshoz konfigurálnia kell a bérlőkulcs-objektumot, és meg kell adnia a használni kívánt alternatív kulcsot. Ezután a korábban használt kulcs automatikusan archiváltként lesz megjelölve az Azure Information Protection számára. Ez a konfiguráció biztosítja, hogy az ezzel a kulccsal védett tartalom akadálymentes maradjon.
Példák arra, hogy mikor kell újrakulcsolnia az Azure Information Protectiont:
A vállalata két vagy több vállalatra oszlik. A bérlőkulcs újrakulcsolásakor az új vállalat nem fér hozzá az alkalmazottak által közzétett új tartalmakhoz. A régi tartalomhoz akkor férhetnek hozzá, ha rendelkezik a régi bérlőkulcs másolatával.
Át szeretne lépni az egyik kulcskezelési topológiából a másikba.
Úgy véli, hogy a bérlőkulcs főpéldánya (a birtokában lévő másolat) sérült.
Ha egy másik, ön által kezelt kulcsra szeretne újrakulcsot adni, létrehozhat egy új kulcsot az Azure Key Vaultban, vagy használhat egy másik kulcsot, amely már megtalálható az Azure Key Vaultban. Ezután kövesse ugyanazokat az eljárásokat, mint az Azure Information Protection BYOK-jának implementálásához.
Csak akkor, ha az új kulcs egy másik kulcstartóban található az Azure Information Protectionhez már használt kulcstartóhoz: Engedélyezze az Azure Information Protection számára a kulcstartó használatát a Set-AzKeyVaultAccessPolicy parancsmag használatával.
Ha az Azure Information Protection még nem ismeri a használni kívánt kulcsot, futtassa a Use-AipServiceKeyVaultKey parancsmagot.
Konfigurálja a bérlőkulcs-objektumot a Set-AipServiceKeyProperties parancsmag használatával.
További információ az alábbi lépésekről:
Az Azure Information Protection-bérlőkulcs tervezésével és implementálásával kapcsolatban további információt az Ön által kezelt másik kulcsra való újrakulcsolásról olvashat.
Ha a helyszínen létrehozott és a Key Vaultba áthelyezett HSM által védett kulcsot újrakulcsozza, ugyanazt a biztonsági világot és hozzáférési kártyákat használhatja, mint az aktuális kulcshoz.
Az újrakulcsoláshoz, a Microsoft által kezelt kulcsra való váltáshoz tekintse meg a Bérlőkulcs újrakulcsolása szakaszt a Microsoft által felügyelt műveletekhez.
A bérlőkulcs biztonsági mentése és helyreállítása
Mivel ön kezeli a bérlőkulcsot, ön a felelős az Azure Information Protection által használt kulcs biztonsági mentéséért.
Ha a bérlőkulcsot a helyszínen, egy nCipher HSM-ben hozza létre: A kulcs biztonsági mentéséhez biztonsági másolatot készíthet a tokenizált kulcsfájlról, a világfájlról és a rendszergazdai kártyákról. Amikor a kulcsot az Azure Key Vaultba továbbítja, a szolgáltatás menti a jogkivonatos kulcsfájlt, hogy védelmet nyújtson a szolgáltatáscsomópontok meghibásodása ellen. Ez a fájl az adott Azure-régió vagy -példány biztonsági világához van kötve. Ezt a jogkivonatos kulcsfájlt azonban ne tekintse teljes biztonsági mentésnek. Ha például a kulcs egyszerű szöveges másolatára van szüksége az nCipher HSM-en kívül való használathoz, az Azure Key Vault nem tudja lekérni, mert csak egy nem helyreállítható másolata van.
Az Azure Key Vault rendelkezik egy biztonsági mentési parancsmaggal , amellyel biztonsági másolatot készíthet a kulcsról, ha letölti és egy fájlban tárolja. Mivel a letöltött tartalom titkosítva van, nem használható az Azure Key Vaulton kívül.
Bérlőkulcs exportálása
BYOK használata esetén nem exportálhatja a bérlőkulcsot az Azure Key Vaultból vagy az Azure Information Protectionből. Az Azure Key Vaultban lévő másolat nem állítható helyre.
Reagálás a szabálysértésekre
A biztonsági rendszer, függetlenül attól, hogy milyen erős, nem teljes a szabálysértés-elhárítási folyamat nélkül. Előfordulhat, hogy a bérlőkulcsot feltörték vagy ellopták. Még akkor is, ha jól védett, a biztonsági rések a jelenlegi generációs kulcstechnológiában vagy az aktuális kulcshosszokban és algoritmusokban találhatók.
A Microsoft dedikált csapattal rendelkezik a termékeiben és szolgáltatásaiban fellépő biztonsági incidensekre való reagáláshoz. Amint hiteles jelentés készül egy incidensről, ez a csapat megvizsgálja a hatókört, a kiváltó okot és a kockázatcsökkentéseket. Ha ez az incidens hatással van az eszközeire, a Microsoft e-mailben értesíti a bérlő globális rendszergazdáját.
Ha ön vagy a Microsoft megsérti a szabálysértést, az Ön vagy a Microsoft által végrehajtható legjobb művelet a jogsértés hatókörétől függ; A Microsoft ezen a folyamaton keresztül együttműködik Önnel. Az alábbi táblázat néhány tipikus helyzetet és a valószínű választ mutatja be, bár a pontos válasz a vizsgálat során feltárt összes információtól függ.
| Incidens leírása | Valószínű válasz |
|---|---|
| A bérlőkulcs kiszivárog. | A bérlőkulcs újrakulcsolása. Lásd: Bérlőkulcs újrakulcsolása. |
| Egy jogosulatlan személy vagy kártevő jogosultságot kapott a bérlőkulcs használatára, de maga a kulcs nem szivárogt ki. | A bérlőkulcs újrakulcsolása itt nem segít, és alapvető okok elemzését igényli. Ha egy folyamat vagy szoftverhiba felelős a jogosulatlan személy hozzáféréséért, ezt a helyzetet meg kell oldani. |
| A jelenlegi generációs HSM-technológiában felfedezett biztonsági rés. | A Microsoftnak frissítenie kell a HSM-eket. Ha okkal feltételezhető, hogy a biztonsági rés által feltárt kulcsok, a Microsoft minden ügyfelet arra utasít, hogy a bérlőkulcsokat újrakulcsozza. |
| Az RSA-algoritmusban felderített sebezhetőség, a kulcshossz vagy a találgatásos támadások számításilag megvalósíthatóvá válnak. | A Microsoftnak frissítenie kell az Azure Key Vaultot vagy az Azure Information Protectiont, hogy támogassa az új algoritmusokat és a hosszabb, rugalmas kulcshosszokat, és utasítsa az ügyfeleket, hogy újrakulcsozhassák a bérlőkulcsukat. |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: