Az Azure Information Protection-bérlőkulcs tervezése és implementálása
Feljegyzés
Microsoft Purview információvédelem, korábban Microsoft Information Protection (MIP) szolgáltatást keres?
Az Azure Information Protection bővítmény ki van állítva, és a Microsoft 365-alkalmazásokba és -szolgáltatásokba beépített címkékre cserélődik. További információ a többi Azure Information Protection-összetevő támogatási állapotáról.
Az új Microsoft Information Protection-ügyfél (a bővítmény nélkül) jelenleg előzetes verzióban érhető el, és általános rendelkezésre állásra van ütemezve.
Az Azure Information Protection bérlőkulcsa a szervezet gyökérkulcsa. Más kulcsok is származhatnak ebből a gyökérkulcsból, beleértve a felhasználói kulcsokat, a számítógépkulcsokat vagy a dokumentumtitkosítási kulcsokat. Amikor az Azure Information Protection ezeket a kulcsokat használja a szervezetéhez, kriptográfiai módon az Azure Information Protection gyökérbérlõkulcsához láncolt.
A bérlő gyökérkulcsán kívül a szervezet helyszíni biztonságot is megkövetelhet adott dokumentumokhoz. A helyszíni kulcsvédelem általában csak kis mennyiségű tartalomhoz szükséges, ezért a bérlő főkulcsával együtt van konfigurálva.
Azure Information Protection-kulcstípusok
A bérlő gyökérkulcsa a következő lehet:
- A Microsoft által létrehozott
- Saját kulcs (BYOK) védelemmel rendelkező ügyfelek generálják.
Ha rendkívül érzékeny tartalommal rendelkezik, amely további helyszíni védelmet igényel, javasoljuk a Dupla kulcsos titkosítás (DKE) használatát.
A Microsoft által létrehozott bérlői főkulcsok
A Microsoft által automatikusan létrehozott alapértelmezett kulcs az alapértelmezett kulcs, amelyet kizárólag az Azure Information Protection használ a bérlőkulcs életciklusának legtöbb aspektusának kezeléséhez.
Folytassa az alapértelmezett Microsoft-kulcsot, ha az Azure Information Protectiont gyorsan és speciális hardver, szoftver vagy Azure-előfizetés nélkül szeretné üzembe helyezni. Ilyenek például a tesztelési környezetek vagy a kulcskezelésre vonatkozó szabályozási követelmények nélküli szervezetek.
Az alapértelmezett kulcshoz nincs szükség további lépésekre, és közvetlenül a bérlői gyökérkulcs használatának első lépéseihez léphet.
Feljegyzés
A Microsoft által létrehozott alapértelmezett kulcs a legegyszerűbb lehetőség a legalacsonyabb rendszergazdai többletterheléssel.
A legtöbb esetben előfordulhat, hogy nem is tudja, hogy rendelkezik bérlői kulccsal, mivel regisztrálhat az Azure Information Protection szolgáltatásra, és a kulcskezelési folyamat többi részét a Microsoft kezeli.
Saját kulcs (BYOK) védelme
A BYOK-protection olyan kulcsokat használ, amelyeket az ügyfelek hoztak létre az Azure Key Vaultban vagy a helyszíni ügyfélszervezetben. Ezek a kulcsok ezután tovább lesznek továbbítva az Azure Key Vaultba további felügyelet céljából.
Akkor használja a BYOK-ot, ha szervezete rendelkezik a kulcsgenerálásra vonatkozó megfelelőségi előírásokkal, beleértve az összes életciklus-művelet vezérlését is. Ha például a kulcsot hardveres biztonsági modullal kell védeni.
További információ: BYOK-védelem konfigurálása.
A konfigurálást követően folytassa a bérlői gyökérkulcs használatának első lépéseivel, hogy további információt tudjon meg a kulcs használatáról és kezeléséről.
Dupla kulcsos titkosítás (DKE)
A DKE-védelem további biztonságot nyújt a tartalmak számára két kulcs használatával: az egyiket a Microsoft hozta létre és tartja az Azure-ban, a másikat pedig az ügyfél hozta létre és tartja a helyszínen.
A DKE-nek mindkét kulcsra szüksége van a védett tartalmak eléréséhez, biztosítva, hogy a Microsoft és más harmadik felek soha ne férhessenek hozzá önállóan a védett adatokhoz.
A DKE üzembe helyezhető a felhőben vagy a helyszínen, így teljes rugalmasságot biztosít a tárolási helyek számára.
A DKE használata a szervezetnél:
- Biztosítani szeretné, hogy minden körülmények között csak ők fejthetik vissza a védett tartalmakat.
- Ne szeretné, hogy a Microsoft önállóan hozzáférjen a védett adatokhoz.
- A kulcsok földrajzi határokon belüli tárolására vonatkozó szabályozási követelményekkel rendelkezik. A DKE-vel az ügyfél által tárolt kulcsok az ügyfél adatközpontjában maradnak.
Feljegyzés
A DKE hasonló a biztonsági letéti dobozhoz, amelyhez bankkulcs és ügyfélkulcs is szükséges a hozzáférés megszerzéséhez. A DKE-védelemhez a Microsoft által birtokolt kulcs és az ügyfél által birtokolt kulcs is szükséges a védett tartalom visszafejtéséhez.
További információ: Duplakulcsos titkosítás a Microsoft 365 dokumentációjában.
Következő lépések
Az egyes kulcstípusokról az alábbi cikkekben talál további információt:
- A bérlői gyökérkulcsok használatának első lépései
- Saját kulcs (BYOK) adatainak megadása az Azure Information Protectionhez
- Microsoft Purview duplakulcsos titkosítás
Ha bérlőkre migrál, például egy cég egyesülése után, javasoljuk, hogy olvassa el az egyesülésekről és a spinoffokról szóló blogbejegyzésünket további információkért.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: