Crittografare i dati inattivi delle app Defender per il cloud con la propria chiave (BYOK)
Questo articolo descrive come configurare Defender per il cloud App per usare la propria chiave per crittografare i dati raccolti, mentre è inattivo. Per informazioni sull'applicazione della crittografia ai dati archiviati nelle app cloud, vedere Integrazione di Microsoft Purview.
Defender per il cloud App prende sul serio la sicurezza e la privacy. Pertanto, una volta che Defender per il cloud App inizia a raccogliere i dati, usa le proprie chiavi gestite per proteggere i dati in conformità con l'informativa sulla sicurezza e la privacy dei dati. Inoltre, Defender per il cloud app consente di proteggere ulteriormente i dati inattivi crittografandoli con la propria chiave di Azure Key Vault.
Importante
Se si verifica un problema durante l'accesso alla chiave di Azure Key Vault, Defender per il cloud Le app non riusciranno a crittografare i dati e il tenant verrà bloccato entro un'ora. Quando il tenant è bloccato, tutti gli accessi verranno bloccati fino a quando la causa non viene risolta. Quando la chiave è nuovamente accessibile, verrà ripristinato l'accesso completo al tenant.
Questa procedura è disponibile solo nel portale di Microsoft Defender e non può essere eseguita nel portale delle app di Microsoft Defender per il cloud classico.
Prerequisiti
È necessario registrare l'app Microsoft Defender per il cloud Apps - BYOK nell'ID Microsoft Entra del tenant associato al tenant Defender per il cloud Apps.
Per registrare l'app
Installare Microsoft Graph PowerShell.
Aprire un terminale di PowerShell ed eseguire i comandi seguenti:
Connect-MgGraph -Scopes "Application.ReadWrite.All" # Create a new service principal New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd # Update Service Principal $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id $params = @{ accountEnabled = $true } Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $paramsDove ServicePrincipalId è l'ID restituito dal comando precedente (
New-MgServicePrincipal).
Nota
- Defender per il cloud App crittografa i dati inattivi per tutti i nuovi tenant.
- Tutti i dati che risiedono in app di Defender per il cloud per più di 48 ore verranno crittografati.
Distribuire la chiave di Azure Key Vault
Creare un nuovo insieme di credenziali delle chiavi con le opzioni di eliminazione temporanea e protezione ripulitura abilitate.
Nel nuovo insieme di credenziali delle chiavi generato aprire il riquadro Criteri di accesso e quindi selezionare +Aggiungi criteri di accesso.
Selezionare Autorizzazioni chiave e scegliere le autorizzazioni seguenti dal menu a discesa:
Sezione Autorizzazioni necessarie Operazioni di gestione delle chiavi -Lista Operazioni crittografiche - Eseguire il wrapping del tasto
- Annulla il wrapping della chiave
In Seleziona entità scegliere Microsoft Defender per il cloud App - BYOK o Microsoft Cloud App Security - BYOK.
Seleziona Salva.
Creare una nuova chiave RSA ed eseguire le operazioni seguenti:
Nota
Sono supportate solo le chiavi RSA.
Dopo aver creato la chiave, selezionare la nuova chiave generata, selezionare la versione corrente e quindi verranno visualizzate le operazioni consentite.
In Operazioni consentite verificare che siano abilitate le opzioni seguenti:
- Eseguire il wrapping della chiave
- Annullare il wrapping della chiave
Copiare l'URI dell'identificatore di chiave. in quanto sarà necessario più avanti.
Facoltativamente, se si usa un firewall per una rete selezionata, configurare le impostazioni del firewall seguenti per concedere alle app di Defender per il cloud l'accesso alla chiave specificata e quindi fare clic su Salva:
- Assicurarsi che non siano selezionate reti virtuali.
- Aggiungere gli indirizzi IP seguenti:
- 13.66.200.132
- 23.100.71.251
- 40.78.82.214
- 51.105.4.145
- 52.166.166.111
- 13.72.32.204
- 52.244.79.38
- 52.227.8.45
- Selezionare Consenti servizi Microsoft attendibile per ignorare il firewall.
Abilitare la crittografia dei dati nelle app di Defender per il cloud
Quando si abilita la crittografia dei dati, Defender per il cloud App usa immediatamente la chiave di Azure Key Vault per crittografare i dati inattivi. Poiché la chiave è essenziale per il processo di crittografia, è importante assicurarsi che l'insieme di credenziali delle chiavi e la chiave designati siano sempre accessibili.
Per abilitare la crittografia dei dati
Nel portale di Microsoft Defender selezionare Impostazioni > Crittografia > dati delle app > cloud Abilita crittografia dei dati.
Nella casella URI chiave di Azure Key Vault incollare il valore URI dell'identificatore di chiave copiato in precedenza. Defender per il cloud App usa sempre la versione chiave più recente, indipendentemente dalla versione della chiave specificata dall'URI.
Al termine della convalida dell'URI, selezionare Abilita.
Nota
Quando si disabilita la crittografia dei dati, Defender per il cloud App rimuove la crittografia con la propria chiave dai dati inattivi. Tuttavia, i dati rimangono crittografati da Defender per il cloud chiavi gestite delle app.
Per disabilitare la crittografia dei dati: passare alla scheda Crittografia dati e fare clic su Disabilita crittografia dati.
Gestione del rollback delle chiavi
Ogni volta che si creano nuove versioni della chiave configurata per la crittografia dei dati, Defender per il cloud App esegue automaticamente il rollback alla versione più recente della chiave.
Come gestire gli errori di crittografia dei dati
Se si verifica un problema durante l'accesso alla chiave di Azure Key Vault, Defender per il cloud Le app non riusciranno a crittografare i dati e il tenant verrà bloccato entro un'ora. Quando il tenant è bloccato, tutti gli accessi verranno bloccati fino a quando la causa non viene risolta. Quando la chiave è nuovamente accessibile, verrà ripristinato l'accesso completo al tenant. Per informazioni sulla gestione degli errori di crittografia dei dati, vedere Risoluzione dei problemi di crittografia dei dati con la propria chiave.