Bawa detail kunci Anda sendiri (BYOK) untuk Azure Information Protection

Catatan

Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?

Klien pelabelan terpadu Azure Information Protection sekarang dalam mode pemeliharaan. Kami sarankan Anda menggunakan label yang disertakan dalam aplikasi dan layanan Office 365 Anda. Pelajari lebih lanjut

Organisasi dengan langganan Azure Information Protection dapat memilih untuk mengonfigurasi penyewa mereka dengan kunci mereka sendiri, bukan kunci default yang dihasilkan oleh Microsoft. Konfigurasi ini sering disebut sebagai Bring Your Own Key (BYOK).

BYOK dan pengelogan penggunaan bekerja tanpa hambatan dengan aplikasi yang terintegrasi dengan layanan Azure Rights Management yang digunakan oleh Azure Information Protection.

Aplikasi yang didukung meliputi:

  • Layanan cloud, seperti Microsoft SharePoint atau Microsoft 365

  • Layanan lokal yang menjalankan aplikasi Exchange dan SharePoint yang menggunakan layanan Azure Rights Management melalui konektor RMS

  • Aplikasi klien, seperti Office 2019, Office 2016, dan Office 2013

Tip

Jika diperlukan, terapkan keamanan tambahan ke dokumen tertentu menggunakan kunci lokal tambahan. Untuk informasi selengkapnya, lihat Perlindungan Enkripsi Kunci Ganda (DKE) (hanya klien pelabelan terpadu).

Penyimpanan kunci Azure Key Vault

Kunci yang dihasilkan pelanggan harus disimpan di Azure Key Vault untuk perlindungan BYOK.

Catatan

Menggunakan kunci yang dilindungi HSM di Azure Key Vault memerlukan tingkat layanan Azure Key Vault Premium, yang dikenakan biaya langganan bulanan tambahan.

Berbagi brankas kunci dan langganan

Sebaiknya gunakan brankas kunci khusus untuk kunci penyewa Anda. Brankas kunci khusus membantu memastikan bahwa panggilan oleh layanan lain tidak menyebabkan batas layanan terlampaui. Melebihi batas layanan pada brankas kunci tempat kunci penyewa Anda disimpan dapat menyebabkan pembatasan waktu respons untuk layanan Azure Rights Management.

Karena layanan yang berbeda memiliki berbagai persyaratan manajemen kunci, Microsoft juga merekomendasikan penggunaan langganan Azure khusus untuk brankas kunci Anda. Langganan Azure khusus:

  • Membantu melindungi dari kesalahan konfigurasi

  • Lebih aman ketika layanan yang berbeda memiliki administrator yang berbeda

Untuk berbagi langganan Azure dengan layanan lain yang menggunakan Azure Key Vault, pastikan langganan berbagi sekumpulan administrator umum. Mengonfirmasi bahwa semua administrator yang menggunakan langganan memiliki pemahaman yang kuat tentang setiap kunci yang dapat mereka akses, berarti mereka cenderung tidak salah mengonfigurasi kunci Anda.

Contoh: Menggunakan langganan Azure bersama saat administrator untuk kunci penyewa Azure Information Protection Anda adalah individu yang sama yang mengelola kunci Anda untuk Office 365 Kunci Pelanggan dan CRM secara online. Jika administrator utama untuk layanan ini berbeda, sebaiknya gunakan langganan khusus.

Manfaat menggunakan Azure Key Vault

Azure Key Vault menyediakan solusi manajemen kunci terpusat dan konsisten untuk banyak layanan berbasis cloud dan lokal yang menggunakan enkripsi.

Selain mengelola kunci, Azure Key Vault menawarkan pengalaman manajemen yang sama kepada administrator keamanan Anda untuk menyimpan, mengakses, dan mengelola sertifikat dan rahasia (seperti kata sandi) untuk layanan dan aplikasi lain yang menggunakan enkripsi.

Menyimpan kunci penyewa Anda di Azure Key Vault memberikan keuntungan berikut:

Keunggulan Deskripsi
Antarmuka bawaan Azure Key Vault mendukung sejumlah antarmuka bawaan untuk manajemen kunci, termasuk PowerShell, CLI, REST API, dan portal Azure.

Layanan dan alat lain telah terintegrasi dengan Key Vault untuk kemampuan yang dioptimalkan untuk tugas tertentu, seperti pemantauan.

Misalnya, analisis log penggunaan utama Anda dengan analitik Log Operations Management Suite, atur pemberitahuan saat kriteria yang ditentukan terpenuhi, dan sebagainya.
Pemisahan peran Azure Key Vault menyediakan pemisahan peran sebagai praktik terbaik keamanan yang diakui.

Pemisahan peran memastikan bahwa administrator Azure Information Protection dapat fokus pada prioritas tertinggi mereka, termasuk mengelola klasifikasi dan perlindungan data, serta kunci enkripsi dan kebijakan untuk persyaratan keamanan atau kepatuhan tertentu.
Lokasi kunci master Azure Key Vault tersedia di berbagai lokasi, dan mendukung organisasi dengan batasan di mana kunci master dapat hidup.

Untuk informasi selengkapnya, lihat halaman Produk yang tersedia menurut wilayah di situs Azure.
Domain keamanan yang dipisahkan Azure Key Vault menggunakan domain keamanan terpisah untuk pusat datanya di wilayah seperti Amerika Utara, EMEA (Eropa, Timur Tengah dan Afrika), dan Asia.

Azure Key Vault juga menggunakan berbagai instans Azure, seperti Microsoft Azure Jerman, dan Azure Government.
Pengalaman terpadu Azure Key Vault juga memungkinkan administrator keamanan untuk menyimpan, mengakses, dan mengelola sertifikat dan rahasia, seperti kata sandi, untuk layanan lain yang menggunakan enkripsi.

Menggunakan Azure Key Vault untuk kunci penyewa Anda memberikan pengalaman pengguna yang mulus bagi administrator yang mengelola semua elemen ini.

Untuk pembaruan terbaru dan untuk mempelajari cara layanan lain menggunakan Azure Key Vault, kunjungi blog tim Azure Key Vault.

Pengelogan penggunaan untuk BYOK

Log penggunaan dihasilkan oleh setiap aplikasi yang membuat permintaan ke layanan Azure Rights Management.

Meskipun pengelogan penggunaan bersifat opsional, sebaiknya gunakan log penggunaan hampir real-time dari Azure Information Protection untuk melihat dengan tepat bagaimana dan kapan kunci penyewa Anda digunakan.

Untuk informasi selengkapnya tentang pengelogan penggunaan kunci untuk BYOK, lihat Mencatat dan menganalisis penggunaan perlindungan dari Azure Information Protection.

Tip

Untuk jaminan tambahan, pengelogan penggunaan Azure Information Protection dapat dirujuk silang dengan pengelogan Azure Key Vault. Key Vault log menyediakan metode yang andal untuk memantau secara independen bahwa kunci Anda hanya digunakan oleh layanan Azure Rights Management.

Jika perlu, segera cabut akses ke kunci Anda dengan menghapus izin pada brankas kunci.

Opsi untuk membuat dan menyimpan kunci Anda

Catatan

Untuk informasi selengkapnya tentang penawaran HSM Terkelola, dan cara menyiapkan vault dan kunci, lihat dokumentasi Azure Key Vault.

Instruksi tambahan tentang pemberian otorisasi kunci dijelaskan di bawah ini.

BYOK mendukung kunci yang dibuat baik di Azure Key Vault atau lokal.

Jika Anda membuat kunci lokal, Anda kemudian harus mentransfer atau mengimpornya ke Key Vault anda dan mengonfigurasi Azure Information Protection untuk menggunakan kunci. Lakukan manajemen kunci tambahan dari dalam Azure Key Vault.

Opsi untuk membuat dan menyimpan kunci Anda sendiri:

  • Dibuat di Azure Key Vault. Buat dan simpan kunci Anda di Azure Key Vault sebagai kunci yang dilindungi HSM atau kunci yang dilindungi perangkat lunak.

  • Dibuat secara lokal. Buat kunci Anda secara lokal dan transfer ke Azure Key Vault menggunakan salah satu opsi berikut:

    • Kunci yang dilindungi HSM, ditransfer sebagai kunci yang dilindungi HSM. Metode yang paling khas dipilih.

      Meskipun metode ini memiliki overhead yang paling administratif, mungkin diperlukan bagi organisasi Anda untuk mengikuti peraturan tertentu. HSM yang digunakan oleh Azure Key Vault divalidasi FIPS 140-2 Level 2.

    • Kunci yang dilindungi perangkat lunak yang dikonversi dan ditransfer ke Azure Key Vault sebagai kunci yang dilindungi HSM. Metode ini hanya didukung saat bermigrasi dari Active Directory Rights Management Services (AD RMS).

    • Dibuat secara lokal sebagai kunci yang dilindungi perangkat lunak dan ditransfer ke Azure Key Vault sebagai kunci yang dilindungi perangkat lunak. Metode ini memerlukan . File sertifikat PFX.

Misalnya, lakukan hal berikut untuk menggunakan kunci yang dibuat secara lokal:

  1. Buat kunci penyewa di tempat Anda, sejalan dengan kebijakan TI dan keamanan organisasi Anda. Kunci ini adalah salinan master. Ini tetap lokal, dan Anda diharuskan untuk pencadangannya.

  2. Buat salinan kunci master, dan transfer dengan aman dari HSM Anda ke Azure Key Vault. Sepanjang proses ini, salinan master kunci tidak pernah meninggalkan batas perlindungan perangkat keras.

Setelah ditransfer, salinan kunci dilindungi oleh Azure Key Vault.

Mengekspor domain penerbitan tepercaya Anda

Jika Anda pernah memutuskan untuk berhenti menggunakan Azure Information Protection, Anda memerlukan domain penerbitan tepercaya (TPD) untuk mendekripsi konten yang dilindungi oleh Azure Information Protection.

Namun, mengekspor TPD Anda tidak didukung jika Anda menggunakan BYOK untuk kunci azure Information Protection Anda.

Untuk mempersiapkan skenario ini, pastikan untuk membuat TPD yang sesuai sebelumnya. Untuk informasi selengkapnya, lihat Cara menyiapkan paket Azure Information Protection "Cloud Exit".

Menerapkan BYOK untuk kunci penyewa Azure Information Protection Anda

Gunakan langkah-langkah berikut untuk mengimplementasikan BYOK:

  1. Tinjau prasyarat BYOK
  2. Pilih lokasi Key Vault
  3. Membuat dan mengonfigurasi kunci Anda

Prasyarat untuk BYOK

Prasyarat BYOK bervariasi, tergantung pada konfigurasi sistem Anda. Verifikasi bahwa sistem Anda mematuhi prasyarat berikut sesuai kebutuhan:

Persyaratan Deskripsi
Langganan Azure Diperlukan untuk semua konfigurasi.
Untuk informasi selengkapnya, lihat Memverifikasi bahwa Anda memiliki langganan Azure yang kompatibel dengan BYOK.
Modul AIPService PowerShell untuk Azure Information Protection Diperlukan untuk semua konfigurasi.
Untuk informasi selengkapnya, lihat Menginstal modul AIPService PowerShell.
Prasyarat Azure Key Vault untuk BYOK Jika Anda menggunakan kunci yang dilindungi HSM yang dibuat secara lokal, pastikan Anda juga mematuhi prasyarat untuk BYOK yang tercantum dalam dokumentasi Azure Key Vault.
Firmware Thales versi 11.62 Anda harus memiliki versi firmware Thales 11.62 jika Anda bermigrasi dari AD RMS ke Azure Information Protection dengan menggunakan kunci perangkat lunak ke kunci perangkat keras dan menggunakan firmware Thales untuk HSM Anda.
Bypass firewall untuk layanan Microsoft tepercaya Jika brankas kunci yang berisi kunci penyewa Anda menggunakan Virtual Network Titik Akhir Layanan untuk Azure Key Vault, Anda harus mengizinkan layanan Microsoft tepercaya untuk melewati firewall ini.
Untuk informasi selengkapnya, lihat Titik Akhir Layanan Virtual Network untuk Azure Key Vault.

Memverifikasi bahwa Anda memiliki langganan Azure yang kompatibel dengan BYOK

Penyewa Azure Information Protection Anda harus memiliki langganan Azure. Jika Anda belum memilikinya, Anda dapat mendaftar untuk mendapatkan akun gratis. Namun, untuk menggunakan kunci yang dilindungi HSM, Anda harus memiliki tingkat layanan Azure Key Vault Premium.

Langganan Azure gratis yang menyediakan akses ke konfigurasi Azure Active Directory dan konfigurasi templat kustom Azure Rights Management tidak cukup untuk menggunakan Azure Key Vault.

Untuk mengonfirmasi apakah Anda memiliki langganan Azure yang kompatibel dengan BYOK, lakukan hal berikut untuk memverifikasi, menggunakan cmdlet Azure PowerShell:

  1. Mulai sesi Azure PowerShell sebagai administrator.

  2. Masuk sebagai admin global untuk penyewa Azure Information Protection Anda menggunakan Connect-AzAccount.

  3. Salin token yang ditampilkan ke clipboard Anda. Kemudian, di browser, buka https://microsoft.com/devicelogin dan masukkan token yang disalin.

    Untuk informasi selengkapnya, lihat Masuk dengan Azure PowerShell.

  4. Di sesi PowerShell Anda, masukkan Get-AzSubscription, dan konfirmasikan bahwa nilai berikut ditampilkan:

    • Nama dan ID langganan Anda
    • ID penyewa Azure Information Protection Anda
    • Konfirmasi bahwa status diaktifkan

    Jika tidak ada nilai yang ditampilkan dan Anda dikembalikan ke perintah, Anda tidak memiliki langganan Azure yang dapat digunakan untuk BYOK.

Memilih lokasi brankas kunci Anda

Saat Anda membuat brankas kunci untuk memuat kunci yang akan digunakan sebagai kunci penyewa untuk Informasi Azure, Anda harus menentukan lokasi. Lokasi ini adalah wilayah Azure, atau instans Azure.

Buat pilihan Anda terlebih dahulu untuk kepatuhan, lalu untuk meminimalkan latensi jaringan:

  • Jika Anda telah memilih metode kunci BYOK karena alasan kepatuhan, persyaratan kepatuhan tersebut mungkin juga mengamanatkan wilayah atau instans Azure mana yang dapat digunakan untuk menyimpan kunci penyewa Azure Information Protection Anda.

  • Semua panggilan kriptografi untuk rantai perlindungan ke kunci Azure Information Protection Anda. Oleh karena itu, Anda mungkin ingin meminimalkan latensi jaringan yang diperlukan panggilan ini dengan membuat brankas kunci Anda di wilayah atau instans Azure yang sama dengan penyewa Azure Information Protection Anda.

Untuk mengidentifikasi lokasi penyewa Azure Information Protection Anda, gunakan cmdlet PowerShell Get-AipServiceConfiguration dan identifikasi wilayah dari URL. Contohnya:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Wilayah ini dapat diidentifikasi dari rms.na.aadrm.com, dan untuk contoh ini, wilayah tersebut berada dalam Amerika Utara.

Tabel berikut ini mencantumkan wilayah dan instans Azure yang direkomendasikan untuk meminimalkan latensi jaringan:

Wilayah atau instans Azure Lokasi yang direkomendasikan untuk brankas kunci Anda
rms.na.aadrm.com US Tengah Utara atau AS Timur
rms.eu.aadrm.com Eropa Utara atau Eropa Barat
rms.ap.aadrm.com Asia Timur atau Asia Tenggara
rms.sa.aadrm.com US Barat atau AS Timur
rms.govus.aadrm.com US Tengah atau US Timur 2
rms.aadrm.us US Gov Virginia atau US Gov Arizona
rms.aadrm.cn Tiongkok Timur 2 atau Tiongkok Utara 2

Membuat dan mengonfigurasi kunci Anda

Penting

Untuk informasi khusus untuk HSM Terkelola, lihat Mengaktifkan otorisasi kunci untuk kunci HSM Terkelola melalui Azure CLI.

Buat Key Vault Azure dan kunci yang ingin Anda gunakan untuk Azure Information Protection. Untuk informasi selengkapnya, lihat dokumentasi Azure Key Vault.

Perhatikan hal berikut untuk mengonfigurasi Key Vault dan kunci Azure Anda untuk BYOK:

Persyaratan panjang kunci

Saat membuat kunci Anda, pastikan panjang kunci adalah 2048 bit (disarankan) atau 1024 bit. Panjang kunci lainnya tidak didukung oleh Azure Information Protection.

Catatan

Kunci 1024-bit tidak dianggap menawarkan tingkat perlindungan yang memadai untuk kunci penyewa aktif.

Microsoft tidak mendukung penggunaan panjang kunci yang lebih rendah, seperti kunci RSA 1024-bit, dan penggunaan protokol terkait yang menawarkan tingkat perlindungan yang tidak memadai, seperti SHA-1.

Membuat kunci yang dilindungi HSM secara lokal dan mentransfernya ke brankas kunci Anda

Untuk membuat kunci lokal yang dilindungi HSM dan mentransfernya ke brankas kunci Anda sebagai kunci yang dilindungi HSM, ikuti prosedur dalam dokumentasi Azure Key Vault: Cara membuat dan mentransfer kunci yang dilindungi HSM untuk Azure Key Vault.

Agar Azure Information Protection menggunakan kunci yang ditransfer, semua operasi Key Vault harus diizinkan untuk kunci tersebut, termasuk:

  • mengenkripsi
  • mendekripsi
  • wrapKey
  • unwrapKey
  • sign
  • verify

Secara default, semua operasi Key Vault diizinkan.

Untuk memeriksa operasi yang diizinkan untuk kunci tertentu, jalankan perintah PowerShell berikut:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Jika perlu, tambahkan operasi yang diizinkan dengan menggunakan Update-AzKeyVaultKey dan parameter KeyOps .

Mengonfigurasi Azure Information Protection dengan ID kunci Anda

Kunci yang disimpan di Azure Key Vault masing-masing memiliki ID kunci.

ID kunci adalah URL yang berisi nama brankas kunci, kontainer kunci, nama kunci, dan versi kunci. Misalnya: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Konfigurasikan Azure Information Protection untuk menggunakan kunci Anda dengan menentukan URL brankas kuncinya.

Mengotorisasi layanan Azure Rights Management untuk menggunakan kunci Anda

Layanan Azure Rights Management harus diizinkan untuk menggunakan kunci Anda. Administrator Azure Key Vault dapat mengaktifkan otorisasi ini menggunakan portal Azure atau Azure PowerShell.

Mengaktifkan otorisasi kunci menggunakan portal Azure
  1. Masuk ke portal Azure, dan buka Brankaskunci nama>brankas<> kunci AndaKebijakan> aksesTambahkan baru.>

  2. Dari panel Tambahkan kebijakan akses, dari kotak daftar Konfigurasikan dari templat (opsional), pilih Azure Information Protection BYOK, lalu klik OK.

    Templat yang dipilih memiliki konfigurasi berikut:

    • Pilih nilai utama diatur ke Microsoft Rights Management Services.
    • Izin kunci yang dipilih termasuk Dapatkan, Dekripsi, dan Tanda tangani.
Mengaktifkan otorisasi kunci menggunakan PowerShell

Jalankan cmdlet PowerShell Key Vault, Set-AzKeyVaultAccessPolicy, dan berikan izin ke perwakilan layanan Azure Rights Management menggunakan GUID 00000012-0000-0000-c000-0000000000000.

Contohnya:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Mengaktifkan otorisasi kunci untuk kunci HSM Terkelola melalui Azure CLI

Untuk memberikan izin pengguna perwakilan layanan Azure Rights Management sebagai pengguna Kripto HSM Terkelola , jalankan perintah berikut:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Mana:

  • ContosoMHSM adalah contoh nama HSM. Saat menjalankan perintah ini, ganti nilai ini dengan nama HSM Anda sendiri.

Peran pengguna Pengguna Kripto HSM Terkelola memungkinkan pengguna untuk mendekripsi, menandatangani, dan mendapatkan izin ke kunci, yang semuanya diperlukan untuk fungsionalitas HSM Terkelola.

Mengonfigurasi Azure Information Protection untuk menggunakan kunci Anda

Setelah menyelesaikan semua langkah di atas, Anda siap mengonfigurasi Azure Information Protection untuk menggunakan kunci ini sebagai kunci penyewa organisasi Anda.

Menggunakan cmdlet Azure RMS, jalankan perintah berikut:

  1. Sambungkan ke layanan Azure Rights Management dan masuk:

    Connect-AipService
    
  2. Jalankan cmdlet Use-AipServiceKeyVaultKey, yang menentukan URL kunci. Contohnya:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Penting

    Dalam contoh ini, <key-version> adalah versi kunci yang ingin Anda gunakan. Jika Anda tidak menentukan versi, versi kunci saat ini digunakan secara default, dan perintah mungkin tampak berfungsi. Namun, jika kunci Anda kemudian diperbarui atau diperbarui, layanan Azure Rights Management akan berhenti berfungsi untuk penyewa Anda, bahkan jika Anda menjalankan perintah Use-AipServiceKeyVaultKey lagi.

    Gunakan perintah Get-AzKeyVaultKey sesuai kebutuhan untuk mendapatkan nomor versi kunci saat ini.

    Misalnya: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Untuk mengonfirmasi bahwa URL kunci diatur dengan benar untuk Azure Information Protection, jalankan perintah Get-AzKeyVaultKey di Key Vault Azure untuk menampilkan URL kunci.

  3. Jika layanan Azure Rights Management sudah diaktifkan, jalankan Set-AipServiceKeyProperties untuk memberi tahu Azure Information Protection menggunakan kunci ini sebagai kunci penyewa aktif untuk layanan Azure Rights Management.

Azure Information Protection sekarang dikonfigurasi untuk menggunakan kunci Anda alih-alih kunci default yang dibuat Microsoft yang dibuat secara otomatis untuk penyewa Anda.

Langkah berikutnya

Setelah Mengonfigurasi perlindungan BYOK, lanjutkan memulai kunci akar penyewa Anda untuk informasi selengkapnya tentang menggunakan dan mengelola kunci Anda.