Membawa detail kunci Anda sendiri (BYOK) untuk Perlindungan Informasi Azure

  • Artikel

Catatan

Apakah Anda mencari Perlindungan Informasi Microsoft Purview, sebelumnya Microsoft Information Protection (MIP)?

Add-in Perlindungan Informasi Azure dihentikan dan diganti dengan label yang disertakan dalam aplikasi dan layanan Microsoft 365 Anda. Pelajari selengkapnya tentang status dukungan komponen Perlindungan Informasi Azure lainnya.

Klien Perlindungan Informasi Microsoft baru (tanpa add-in) saat ini dalam pratinjau dan dijadwalkan untuk ketersediaan umum.

Organisasi dengan langganan Azure Information Protection dapat memilih untuk mengonfigurasi penyewa mereka dengan kunci mereka sendiri, bukan kunci default yang dibuat oleh Microsoft. Konfigurasi ini sering disebut dengan Bring Your Own Key (BYOK).

BYOK dan pengelogan penggunaan bekerja dengan mulus dengan aplikasi yang terintegrasi dengan layanan Azure Rights Management yang digunakan oleh Perlindungan Informasi Azure.

Aplikasi yang didukung meliputi:

  • Layanan cloud, seperti Microsoft SharePoint atau Microsoft 365

  • Layanan lokal yang menjalankan aplikasi Exchange dan SharePoint yang menggunakan layanan Azure Rights Management melalui konektor RMS

  • Aplikasi klien, seperti Office 2019, Office 2016, dan Office 2013

Tip

Jika diperlukan, terapkan keamanan tambahan ke dokumen tertentu menggunakan kunci lokal tambahan. Untuk informasi selengkapnya, lihat Perlindungan Enkripsi Kunci Ganda (DKE) (hanya klien pelabelan terpadu).

Penyimpanan kunci Azure Key Vault

Kunci yang dihasilkan pelanggan harus disimpan di Azure Key Vault untuk perlindungan BYOK.

Catatan

Menggunakan kunci yang dilindungi HSM di Azure Key Vault memerlukan tingkat layanan Azure Key Vault Premium, yang dikenakan biaya langganan bulanan tambahan.

Berbagi brankas kunci dan langganan

Sebaiknya gunakan brankas kunci khusus untuk kunci penyewa Anda. Brankas kunci khusus membantu memastikan bahwa panggilan oleh layanan lain tidak menyebabkan batas layanan terlampaui. Melebihi batas layanan pada brankas kunci tempat kunci penyewa Anda disimpan dapat menyebabkan pembatasan waktu respons untuk layanan Azure Rights Management.

Karena layanan yang berbeda memiliki berbagai persyaratan manajemen kunci, Microsoft juga merekomendasikan penggunaan langganan Azure khusus untuk brankas kunci Anda. Langganan Azure khusus:

  • Membantu melindungi dari kesalahan konfigurasi

  • Lebih aman ketika layanan yang berbeda memiliki administrator yang berbeda

Untuk berbagi langganan Azure dengan layanan lain yang menggunakan Azure Key Vault, pastikan langganan berbagi sekumpulan administrator umum. Mengonfirmasi bahwa semua administrator yang menggunakan langganan memiliki pemahaman yang kuat tentang setiap kunci yang dapat mereka akses, berarti mereka cenderung tidak salah mengonfigurasi kunci Anda.

Contoh: Menggunakan langganan Azure bersama saat administrator untuk kunci penyewa Perlindungan Informasi Azure Anda adalah individu yang sama yang mengelola kunci Anda untuk Kunci Pelanggan Office 365 dan CRM secara online. Jika administrator utama untuk layanan ini berbeda, sebaiknya gunakan langganan khusus.

Manfaat menggunakan Azure Key Vault

Azure Key Vault menyediakan solusi manajemen kunci terpusat dan konsisten untuk banyak layanan berbasis cloud dan lokal yang menggunakan enkripsi.

Selain mengelola kunci, Azure Key Vault menawarkan pengalaman manajemen yang sama kepada administrator keamanan Anda untuk menyimpan, mengakses, dan mengelola sertifikat dan rahasia (seperti kata sandi) untuk layanan dan aplikasi lain yang menggunakan enkripsi.

Menyimpan kunci penyewa Anda di Azure Key Vault memberikan keuntungan berikut:

Keunggulan Deskripsi
Antarmuka bawaan Azure Key Vault mendukung sejumlah antarmuka bawaan untuk manajemen kunci, termasuk PowerShell, CLI, REST API, dan portal Azure.

Layanan dan alat lain telah terintegrasi dengan Key Vault untuk kemampuan yang dioptimalkan untuk tugas tertentu, seperti pemantauan.

Misalnya, analisis log penggunaan utama Anda dengan analitik Log Operations Management Suite, atur pemberitahuan saat kriteria yang ditentukan terpenuhi, dan sebagainya.
Pemisahan peran Azure Key Vault menyediakan pemisahan peran sebagai praktik terbaik keamanan yang diakui.

Pemisahan peran memastikan bahwa administrator Perlindungan Informasi Azure dapat fokus pada prioritas tertinggi mereka, termasuk mengelola klasifikasi dan perlindungan data, serta kunci enkripsi dan kebijakan untuk persyaratan keamanan atau kepatuhan tertentu.
Lokasi kunci master Azure Key Vault tersedia di berbagai lokasi, dan mendukung organisasi dengan batasan di mana kunci master dapat hidup.

Untuk informasi selengkapnya, lihat halaman Produk yang tersedia menurut wilayah di situs Azure.
Domain keamanan yang dipisahkan Azure Key Vault menggunakan domain keamanan terpisah untuk pusat datanya di wilayah seperti Amerika Utara, EMEA (Eropa, Timur Tengah dan Afrika), dan Asia.

Azure Key Vault juga menggunakan instans Azure yang berbeda, seperti Microsoft Azure Jerman, dan Azure Government.
Pengalaman terpadu Azure Key Vault juga memungkinkan administrator keamanan untuk menyimpan, mengakses, dan mengelola sertifikat dan rahasia, seperti kata sandi, untuk layanan lain yang menggunakan enkripsi.

Menggunakan Azure Key Vault untuk kunci penyewa Anda memberikan pengalaman pengguna yang mulus bagi administrator yang mengelola semua elemen ini.

Untuk pembaruan terbaru dan untuk mempelajari cara layanan lain menggunakan Azure Key Vault, kunjungi blog tim Azure Key Vault.

Pengelogan penggunaan untuk BYOK

Log penggunaan dihasilkan oleh setiap aplikasi yang membuat permintaan ke layanan Azure Rights Management.

Meskipun pengelogan penggunaan bersifat opsional, sebaiknya gunakan log penggunaan hampir real-time dari Perlindungan Informasi Azure untuk melihat dengan tepat bagaimana dan kapan kunci penyewa Anda digunakan.

Untuk informasi selengkapnya tentang pengelogan penggunaan utama untuk BYOK, lihat Pengelogan dan analisis penggunaan perlindungan dari Perlindungan Informasi Azure.

Tip

Untuk jaminan tambahan, pengelogan penggunaan Perlindungan Informasi Azure dapat dirujuk silang dengan pengelogan Azure Key Vault. Log Key Vault menyediakan metode yang dapat diandalkan untuk memantau secara independen bahwa kunci Anda hanya digunakan oleh layanan Azure Rights Management.

Jika perlu, segera cabut akses ke kunci Anda dengan menghapus izin pada brankas kunci.

Opsi untuk membuat dan menyimpan kunci Anda

Catatan

Untuk informasi selengkapnya tentang penawaran HSM Terkelola, dan cara menyiapkan vault dan kunci, lihat dokumentasi Azure Key Vault.

Instruksi tambahan tentang memberikan otorisasi kunci dijelaskan di bawah ini.

BYOK mendukung kunci yang dibuat baik di Azure Key Vault atau lokal.

Jika Anda membuat kunci lokal, Anda kemudian harus mentransfer atau mengimpornya ke Key Vault dan mengonfigurasi Perlindungan Informasi Azure untuk menggunakan kunci. Lakukan manajemen kunci tambahan dari dalam Azure Key Vault.

Opsi untuk membuat dan menyimpan kunci Anda sendiri:

  • Dibuat di Azure Key Vault. Buat dan simpan kunci Anda di Azure Key Vault sebagai kunci yang dilindungi HSM atau kunci yang dilindungi perangkat lunak.

  • Dibuat secara lokal. Buat kunci Anda secara lokal dan transfer ke Azure Key Vault menggunakan salah satu opsi berikut:

    • Kunci yang dilindungi HSM, ditransfer sebagai kunci yang dilindungi HSM. Metode yang paling khas dipilih.

      Meskipun metode ini memiliki overhead yang paling administratif, mungkin diperlukan bagi organisasi Anda untuk mengikuti peraturan tertentu. HSM yang digunakan oleh Azure Key Vault memiliki validasi FIPS 140.

    • Kunci yang dilindungi perangkat lunak yang dikonversi dan ditransfer ke Azure Key Vault sebagai kunci yang dilindungi HSM. Metode ini hanya didukung saat bermigrasi dari Layanan Active Directory Rights Management (AD RMS).

    • Dibuat secara lokal sebagai kunci yang dilindungi perangkat lunak dan ditransfer ke Azure Key Vault sebagai kunci yang dilindungi perangkat lunak. Metode ini memerlukan . File sertifikat PFX.

Misalnya, lakukan hal berikut untuk menggunakan kunci yang dibuat secara lokal:

  1. Buat kunci penyewa di tempat Anda, sejalan dengan kebijakan TI dan keamanan organisasi Anda. Kunci ini adalah salinan master. Ini tetap lokal, dan Anda diharuskan untuk pencadangannya.

  2. Buat salinan kunci master, dan transfer dengan aman dari HSM Anda ke Azure Key Vault. Sepanjang proses ini, salinan master kunci tidak pernah meninggalkan batas perlindungan perangkat keras.

Setelah ditransfer, salinan kunci dilindungi oleh Azure Key Vault.

Mengekspor domain penerbitan tepercaya Anda

Jika Anda pernah memutuskan untuk berhenti menggunakan Perlindungan Informasi Azure, Anda memerlukan domain penerbitan tepercaya (TPD) untuk mendekripsi konten yang dilindungi oleh Perlindungan Informasi Azure.

Namun, mengekspor TPD Anda tidak didukung jika Anda menggunakan BYOK untuk kunci Perlindungan Informasi Azure Anda.

Untuk mempersiapkan skenario ini, pastikan untuk membuat TPD yang sesuai sebelumnya. Untuk informasi selengkapnya, lihat Cara menyiapkan paket "Cloud Exit" Perlindungan Informasi Azure.

Menerapkan BYOK untuk kunci penyewa Perlindungan Informasi Azure Anda

Gunakan langkah-langkah berikut untuk mengimplementasikan BYOK:

  1. Tinjau prasyarat BYOK
  2. Pilih lokasi Key Vault
  3. Membuat dan mengonfigurasi kunci Anda

Prasyarat untuk BYOK

Prasyarat BYOK bervariasi, tergantung pada konfigurasi sistem Anda. Verifikasi bahwa sistem Anda mematuhi prasyarat berikut sesuai kebutuhan:

Persyaratan Deskripsi
Langganan Azure Diperlukan untuk semua konfigurasi.
Untuk informasi selengkapnya, lihat Memverifikasi bahwa Anda memiliki langganan Azure yang kompatibel dengan BYOK.
Modul AIPService PowerShell untuk Perlindungan Informasi Azure Diperlukan untuk semua konfigurasi.
Untuk informasi selengkapnya, lihat Menginstal modul AIPService PowerShell.
Prasyarat Azure Key Vault untuk BYOK Jika Anda menggunakan kunci yang dilindungi HSM yang dibuat secara lokal, pastikan Anda juga mematuhi prasyarat untuk BYOK yang tercantum dalam dokumentasi Azure Key Vault.
Firmware Thales versi 11.62 Anda harus memiliki versi firmware Thales 11.62 jika Anda bermigrasi dari AD RMS ke Perlindungan Informasi Azure dengan menggunakan kunci perangkat lunak ke kunci perangkat keras dan menggunakan firmware Thales untuk HSM Anda.
Bypass firewall untuk layanan Microsoft tepercaya Jika brankas kunci yang berisi kunci penyewa Anda menggunakan Titik Akhir Layanan Virtual Network untuk Azure Key Vault, Anda harus mengizinkan layanan Microsoft tepercaya untuk melewati firewall ini.
Untuk informasi selengkapnya, lihat Titik Akhir Layanan Jaringan Virtual untuk Azure Key Vault.

Memverifikasi bahwa Anda memiliki langganan Azure yang kompatibel dengan BYOK

Penyewa Perlindungan Informasi Azure Anda harus memiliki langganan Azure. Jika Anda belum memilikinya, Anda dapat mendaftar untuk akun gratis. Namun, untuk menggunakan kunci yang dilindungi HSM, Anda harus memiliki tingkat layanan Azure Key Vault Premium.

Langganan Azure gratis yang menyediakan akses ke konfigurasi Microsoft Entra dan konfigurasi templat kustom Azure Rights Management tidak cukup untuk menggunakan Azure Key Vault.

Untuk mengonfirmasi apakah Anda memiliki langganan Azure yang kompatibel dengan BYOK, lakukan hal berikut untuk memverifikasi, menggunakan cmdlet Azure PowerShell :

  1. Mulai sesi Azure PowerShell sebagai administrator.

  2. Masuk sebagai admin global untuk penyewa Perlindungan Informasi Azure Anda menggunakan Connect-AzAccount.

  3. Salin token yang ditampilkan ke clipboard Anda. Kemudian, di browser, buka https://microsoft.com/devicelogin dan masukkan token yang disalin.

    Untuk informasi selengkapnya, lihat Masuk dengan Azure PowerShell.

  4. Di sesi PowerShell Anda, masukkan Get-AzSubscription, dan konfirmasikan bahwa nilai berikut ditampilkan:

    • Nama langganan dan ID Anda
    • ID penyewa Perlindungan Informasi Azure Anda
    • Konfirmasi bahwa status diaktifkan

    Jika tidak ada nilai yang ditampilkan dan Anda dikembalikan ke perintah, Anda tidak memiliki langganan Azure yang dapat digunakan untuk BYOK.

Memilih lokasi brankas kunci Anda

Saat Anda membuat brankas kunci untuk berisi kunci yang akan digunakan sebagai kunci penyewa untuk Informasi Azure, Anda harus menentukan lokasi. Lokasi ini adalah wilayah Azure, atau instans Azure.

Jadikan pilihan Anda terlebih dahulu untuk kepatuhan, lalu untuk meminimalkan latensi jaringan:

  • Jika Anda telah memilih metode kunci BYOK karena alasan kepatuhan, persyaratan kepatuhan tersebut mungkin juga mengamanatkan wilayah atau instans Azure mana yang dapat digunakan untuk menyimpan kunci penyewa Perlindungan Informasi Azure Anda.

  • Semua panggilan kriptografi untuk rantai perlindungan ke kunci Perlindungan Informasi Azure Anda. Oleh karena itu, Anda mungkin ingin meminimalkan latensi jaringan yang diperlukan panggilan ini dengan membuat brankas kunci Anda di wilayah atau instans Azure yang sama dengan penyewa Perlindungan Informasi Azure Anda.

Untuk mengidentifikasi lokasi penyewa Perlindungan Informasi Azure Anda, gunakan cmdlet PowerShell Get-AipServiceConfiguration dan identifikasi wilayah dari URL. Contohnya:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

Wilayah ini dapat diidentifikasi dari rms.na.aadrm.com, dan untuk contoh ini, wilayah tersebut berada dalam Amerika Utara.

Tabel berikut ini mencantumkan wilayah dan instans Azure yang direkomendasikan untuk meminimalkan latensi jaringan:

Wilayah atau instans Azure Lokasi yang direkomendasikan untuk brankas kunci Anda
Rms.na.aadrm.com US Tengah Utara atau AS Timur
Rms.eu.aadrm.com Eropa Utara atau Eropa Barat
Rms.ap.aadrm.com Asia Timur atau Asia Tenggara
Rms.sa.aadrm.com US Barat atau US Timur
Rms.govus.aadrm.com US Tengah atau US Timur 2
Rms.aadrm.us US Gov Virginia atau US Gov Arizona
Rms.aadrm.cn Tiongkok Timur 2 atau Tiongkok Utara 2

Membuat dan mengonfigurasi kunci Anda

Penting

Untuk informasi khusus untuk HSM Terkelola, lihat Mengaktifkan otorisasi kunci untuk kunci HSM Terkelola melalui Azure CLI.

Buat Azure Key Vault dan kunci yang ingin Anda gunakan untuk Perlindungan Informasi Azure. Untuk informasi selengkapnya, lihat dokumentasi Azure Key Vault.

Perhatikan hal berikut untuk mengonfigurasi Azure Key Vault dan kunci untuk BYOK:

Persyaratan panjang kunci

Saat membuat kunci Anda, pastikan panjang kuncinya adalah 2048 bit (disarankan) atau 1024 bit. Panjang kunci lainnya tidak didukung oleh Perlindungan Informasi Azure.

Catatan

Kunci 1024-bit tidak dianggap menawarkan tingkat perlindungan yang memadai untuk kunci penyewa aktif.

Microsoft tidak mendukung penggunaan panjang kunci yang lebih rendah, seperti kunci RSA 1024-bit, dan penggunaan protokol terkait yang menawarkan tingkat perlindungan yang tidak memadai, seperti SHA-1.

Membuat kunci yang dilindungi HSM secara lokal dan mentransfernya ke brankas kunci Anda

Untuk membuat kunci yang dilindungi HSM secara lokal dan mentransfernya ke brankas kunci Anda sebagai kunci yang dilindungi HSM, ikuti prosedur dalam dokumentasi Azure Key Vault: Cara membuat dan mentransfer kunci yang dilindungi HSM untuk Azure Key Vault.

Agar Perlindungan Informasi Azure menggunakan kunci yang ditransfer, semua operasi Key Vault harus diizinkan untuk kunci tersebut, termasuk:

  • mengenkripsi
  • mendeskripsi
  • wrapKey
  • unwrapKey
  • sign
  • verify

Secara default, semua operasi Key Vault diizinkan.

Untuk memeriksa operasi yang diizinkan untuk kunci tertentu, jalankan perintah PowerShell berikut:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Jika perlu, tambahkan operasi yang diizinkan dengan menggunakan Update-AzKeyVaultKey dan parameter KeyOps .

Mengonfigurasi Perlindungan Informasi Azure dengan ID kunci Anda

Kunci yang disimpan di Azure Key Vault masing-masing memiliki ID kunci.

ID kunci adalah URL yang berisi nama brankas kunci, kontainer kunci, nama kunci, dan versi kunci. Misalnya: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Konfigurasikan Perlindungan Informasi Azure untuk menggunakan kunci Anda dengan menentukan URL brankas kuncinya.

Mengotorisasi layanan Azure Rights Management untuk menggunakan kunci Anda

Layanan Azure Rights Management harus diotorisasi untuk menggunakan kunci Anda. Administrator Azure Key Vault dapat mengaktifkan otorisasi ini menggunakan portal Azure atau Azure PowerShell.

Mengaktifkan otorisasi kunci menggunakan portal Azure

  1. Masuk ke portal Azure, dan buka Brankas kunci nama>>brankas><kunci Anda Kebijakan>akses Tambahkan baru.

  2. Dari panel Tambahkan kebijakan akses, dari kotak daftar Konfigurasikan dari templat (opsional), pilih Perlindungan Informasi Azure BYOK, lalu klik OK.

    Templat yang dipilih memiliki konfigurasi berikut:

    • Nilai Pilih prinsipal diatur ke Microsoft Rights Management Services.
    • Izin kunci yang dipilih termasuk Dapatkan, Dekripsi, dan Tanda tangani.
Mengaktifkan otorisasi kunci menggunakan PowerShell

Jalankan cmdlet PowerShell Key Vault, Set-AzKeyVaultAccessPolicy, dan berikan izin ke perwakilan layanan Azure Rights Management menggunakan GUID 00000012-0000-0000-c000-000000000000000.

Contohnya:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Mengaktifkan otorisasi kunci untuk kunci HSM Terkelola melalui Azure CLI

Untuk memberikan izin pengguna perwakilan layanan Azure Rights Management sebagai pengguna Kripto HSM Terkelola, jalankan perintah berikut:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Mana:

  • ContosoMHSM adalah contoh nama HSM. Saat menjalankan perintah ini, ganti nilai ini dengan nama HSM Anda sendiri.

Peran pengguna Pengguna Kripto HSM Terkelola memungkinkan pengguna untuk mendekripsi, menandatangani, dan mendapatkan izin ke kunci, yang semuanya diperlukan untuk fungsionalitas HSM Terkelola.

Mengonfigurasi Perlindungan Informasi Azure untuk menggunakan kunci Anda

Setelah menyelesaikan semua langkah di atas, Anda siap untuk mengonfigurasi Perlindungan Informasi Azure untuk menggunakan kunci ini sebagai kunci penyewa organisasi Anda.

Menggunakan cmdlet Azure RMS, jalankan perintah berikut:

  1. Koneksi ke layanan Azure Rights Management dan masuk:

    Connect-AipService

  2. Jalankan cmdlet Use-AipServiceKeyVaultKey, yang menentukan URL kunci. Contohnya:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"

    Penting

    Dalam contoh ini, <key-version> adalah versi kunci yang ingin Anda gunakan. Jika Anda tidak menentukan versi, versi kunci saat ini digunakan secara default, dan perintah mungkin tampak berfungsi. Namun, jika kunci Anda nanti diperbarui atau diperbarui, layanan Manajemen Hak Azure akan berhenti berfungsi untuk penyewa Anda, bahkan jika Anda menjalankan perintah Use-AipServiceKeyVaultKey lagi.

    Gunakan perintah Get-AzKeyVaultKey sesuai kebutuhan untuk mendapatkan nomor versi kunci saat ini.

    Misalnya: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Untuk mengonfirmasi bahwa URL kunci diatur dengan benar untuk Perlindungan Informasi Azure, jalankan perintah Get-AzKeyVaultKey di Azure Key Vault untuk menampilkan URL kunci.

  3. Jika layanan Azure Rights Management sudah diaktifkan, jalankan Set-AipServiceKeyProperties untuk memberi tahu Perlindungan Informasi Azure untuk menggunakan kunci ini sebagai kunci penyewa aktif untuk layanan Manajemen Hak Azure.

Perlindungan Informasi Azure sekarang dikonfigurasi untuk menggunakan kunci Anda alih-alih kunci default yang dibuat Microsoft yang dibuat secara otomatis untuk penyewa Anda.

Langkah berikutnya

Setelah Mengonfigurasi perlindungan BYOK, lanjutkan memulai kunci akar penyewa Anda untuk informasi selengkapnya tentang menggunakan dan mengelola kunci Anda.