Merencanakan dan menerapkan kunci penyewa Perlindungan Informasi Azure Anda
Catatan
Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?
Add-in Perlindungan Informasi Azure dihentikan dan diganti dengan label yang disertakan dalam aplikasi dan layanan Microsoft 365 Anda. Pelajari selengkapnya tentang status dukungan komponen Perlindungan Informasi Azure lainnya.
Klien Perlindungan Informasi Microsoft baru (tanpa add-in) saat ini dalam pratinjau dan dijadwalkan untuk ketersediaan umum.
Kunci penyewa Perlindungan Informasi Azure adalah kunci akar untuk organisasi Anda. Kunci lain dapat berasal dari kunci akar ini, termasuk kunci pengguna, kunci komputer, atau kunci enkripsi dokumen. Setiap kali Perlindungan Informasi Azure menggunakan kunci ini untuk organisasi Anda, mereka secara kriptografis merantai ke kunci penyewa akar Perlindungan Informasi Azure Anda.
Selain kunci akar penyewa Anda, organisasi Anda mungkin memerlukan keamanan lokal untuk dokumen tertentu. Perlindungan kunci lokal biasanya hanya diperlukan untuk sejumlah kecil konten, dan oleh karena itu dikonfigurasi bersama dengan kunci akar penyewa.
Jenis kunci Perlindungan Informasi Azure
Kunci akar penyewa Anda dapat berupa:
- Dihasilkan oleh Microsoft
- Dihasilkan oleh pelanggan dengan perlindungan Bring Your Own Key (BYOK).
Jika Anda memiliki konten yang sangat sensitif yang memerlukan perlindungan lokal tambahan, sebaiknya gunakan Enkripsi Kunci Ganda (DKE).
Kunci akar penyewa yang dihasilkan oleh Microsoft
Kunci default, yang dibuat secara otomatis oleh Microsoft, adalah kunci default yang digunakan secara eksklusif untuk Perlindungan Informasi Azure untuk mengelola sebagian besar aspek siklus hidup kunci penyewa Anda.
Lanjutkan menggunakan kunci Microsoft default saat Anda ingin menyebarkan Perlindungan Informasi Azure dengan cepat dan tanpa perangkat keras, perangkat lunak, atau langganan Azure khusus. Contohnya termasuk lingkungan pengujian atau organisasi tanpa persyaratan peraturan untuk manajemen kunci.
Untuk kunci default, tidak ada langkah lebih lanjut yang diperlukan, dan Anda dapat langsung masuk ke Memulai kunci akar penyewa Anda.
Catatan
Kunci default yang dihasilkan oleh Microsoft adalah opsi paling sederhana dengan overhead administratif terendah.
Dalam kebanyakan kasus, Anda bahkan mungkin tidak tahu bahwa Anda memiliki kunci penyewa, karena Anda dapat mendaftar untuk Perlindungan Informasi Azure dan sisa proses manajemen kunci ditangani oleh Microsoft.
Perlindungan Bring Your Own Key (BYOK)
PERLINDUNGAN BYOK menggunakan kunci yang dibuat oleh pelanggan, baik di Azure Key Vault atau lokal di organisasi pelanggan. Kunci ini kemudian ditransfer ke Azure Key Vault untuk manajemen lebih lanjut.
Gunakan BYOK saat organisasi Anda memiliki peraturan kepatuhan untuk pembuatan kunci, termasuk kontrol atas semua operasi siklus hidup. Misalnya, ketika kunci Anda harus dilindungi oleh modul keamanan perangkat keras.
Untuk informasi selengkapnya, lihat Mengonfigurasi perlindungan BYOK.
Setelah dikonfigurasi, lanjutkan memulai dengan kunci akar penyewa Anda untuk informasi selengkapnya tentang menggunakan dan mengelola kunci Anda.
Enkripsi Kunci Ganda (DKE)
Perlindungan DKE memberikan keamanan tambahan untuk konten Anda dengan menggunakan dua kunci: satu dibuat dan dipegang oleh Microsoft di Azure, dan yang lain dibuat dan disimpan secara lokal oleh pelanggan.
DKE memerlukan kedua kunci untuk mengakses konten yang dilindungi, memastikan bahwa Microsoft dan pihak ketiga lainnya tidak pernah memiliki akses ke data yang dilindungi sendiri.
DKE dapat disebarkan baik di cloud atau lokal, memberikan fleksibilitas penuh untuk lokasi penyimpanan.
Gunakan DKE saat organisasi Anda:
- Ingin memastikan bahwa hanya mereka yang dapat mendekripsi konten yang dilindungi, dalam semua keadaan.
- Tidak ingin Microsoft memiliki akses ke data yang dilindungi sendiri.
- Memiliki persyaratan peraturan untuk menyimpan kunci dalam batas geografis. Dengan DKE, kunci yang disimpan pelanggan dipertahankan dalam pusat data pelanggan.
Catatan
DKE mirip dengan brankas yang memerlukan kunci bank dan kunci pelanggan untuk mendapatkan akses. Perlindungan DKE memerlukan kunci yang disimpan Microsoft dan kunci yang disimpan pelanggan untuk mendekripsi konten yang dilindungi.
Untuk informasi selengkapnya, lihat Enkripsi kunci ganda dalam dokumentasi Microsoft 365.
Langkah berikutnya
Lihat salah satu artikel berikut untuk detail selengkapnya tentang jenis kunci tertentu:
- Mulai menggunakan kunci akar penyewa
- Membawa detail kunci Anda sendiri (BYOK) untuk Perlindungan Informasi Azure
- Enkripsi Kunci Ganda Microsoft Purview
Jika Anda bermigrasi ke seluruh penyewa, seperti setelah merger perusahaan, kami sarankan Anda membaca posting blog kami di merger dan spinoff untuk informasi lebih lanjut.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk