Gestito dal cliente: operazioni del ciclo di vita delle chiavi del tenant
Nota
Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?
Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.
Il nuovo client Microsoft Purview Information Protection (senza il componente aggiuntivo) è attualmente in anteprima e pianificato per la disponibilità generale.
Se si gestisce la chiave del tenant per Azure Information Protection (scenario BRING Your Own Key o BYOK), usare le sezioni seguenti per altre informazioni sulle operazioni del ciclo di vita rilevanti per questa topologia.
Revocare la chiave del tenant
Esistono pochissimi scenari quando potrebbe essere necessario revocare la chiave invece di reimpostare la chiave. Quando si revoca la chiave, tutto il contenuto protetto dal tenant che usa tale chiave diventerà inaccessibile a tutti (inclusi Microsoft, gli amministratori globali e gli utenti con privilegi avanzati) a meno che non si disponga di un backup della chiave che è possibile ripristinare. Dopo aver revocato la chiave, non sarà possibile proteggere il nuovo contenuto fino a quando non si crea e si configura una nuova chiave del tenant per Azure Information Protection.
Per revocare la chiave del tenant gestita dal cliente, in Azure Key Vault modificare le autorizzazioni per l'insieme di credenziali delle chiavi che contiene la chiave del tenant di Azure Information Protection in modo che il servizio Azure Rights Management non possa più accedere alla chiave. Questa azione revoca effettivamente la chiave del tenant per Azure Information Protection.
Quando si annulla la sottoscrizione per Azure Information Protection, Azure Information Protection smette di usare la chiave del tenant e non è necessaria alcuna azione da parte dell'utente.
Reimpostare la chiave del tenant
La reimpostazione della chiave è nota anche come rollover della chiave. Quando si esegue questa operazione, Azure Information Protection smette di usare la chiave del tenant esistente per proteggere documenti e messaggi di posta elettronica e inizia a usare una chiave diversa. I criteri e i modelli vengono immediatamente riassegnati, ma questa modifica è graduale per i client e i servizi esistenti che usano Azure Information Protection. Quindi, per qualche tempo, alcuni nuovi contenuti continuano a essere protetti con la chiave del tenant precedente.
Per reimpostare la chiave, è necessario configurare l'oggetto chiave del tenant e specificare la chiave alternativa da usare. La chiave usata in precedenza viene quindi contrassegnata automaticamente come archiviata per Azure Information Protection. Questa configurazione garantisce che il contenuto protetto tramite questa chiave rimanga accessibile.
Esempi di quando potrebbe essere necessario reimpostare la chiave per Azure Information Protection:
La società si è suddivisa in due o più aziende. Quando si reimposta la chiave del tenant, la nuova azienda non avrà accesso a nuovi contenuti pubblicati dai dipendenti. Possono accedere al contenuto precedente se hanno una copia della chiave del tenant precedente.
Si vuole passare da una topologia di gestione delle chiavi a un'altra.
Si ritiene che la copia master della chiave del tenant (la copia in possesso) sia compromessa.
Per reimpostare la chiave in un'altra chiave gestita, è possibile creare una nuova chiave in Azure Key Vault o usare una chiave diversa già presente in Azure Key Vault. Seguire quindi le stesse procedure che è stato fatto per implementare BYOK per Azure Information Protection.
Solo se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso a quello già in uso per Azure Information Protection: autorizzare Azure Information Protection a usare l'insieme di credenziali delle chiavi usando il cmdlet Set-AzKeyVaultAccessPolicy .
Se Azure Information Protection non conosce già la chiave da usare, eseguire il cmdlet Use-AipServiceKeyVaultKey .
Configurare l'oggetto chiave del tenant usando il cmdlet Set-AipServiceKeyProperties .
Per altre informazioni su ognuno di questi passaggi:
Per reimpostare un'altra chiave gestita, vedere Pianificazione e implementazione della chiave del tenant di Azure Information Protection.
Se si reimposta una chiave protetta da HSM creata in locale e trasferita in Key Vault, è possibile usare le stesse schede di sicurezza e di accesso usate per la chiave corrente.
Per reimpostare la chiave, passare a una chiave gestita da Microsoft, vedere la sezione Reimpostare la chiave del tenant per le operazioni gestite da Microsoft.
Eseguire il backup e il ripristino della chiave del tenant
Poiché si gestisce la chiave del tenant, si è responsabili del backup della chiave usata da Azure Information Protection.
Se la chiave del tenant è stata generata in locale, in un modulo di protezione hardware nCipher: per eseguire il backup della chiave, eseguire il backup del file di chiave con token, del file globale e delle schede di amministratore. Quando si trasferisce la chiave in Azure Key Vault, il servizio salva il file di chiave con token per evitare errori di qualsiasi nodo del servizio. Questo file è associato al mondo della sicurezza per l'area o l'istanza di Azure specifica. Tuttavia, non considerare questo file di chiave con token come backup completo. Ad esempio, se è necessaria una copia di testo normale della chiave da usare all'esterno di un modulo di protezione hardware nCipher, Azure Key Vault non può recuperarlo automaticamente perché include solo una copia non recuperabile.
Azure Key Vault include un cmdlet di backup che è possibile usare per eseguire il backup di una chiave scaricandolo e archiviandolo in un file. Poiché il contenuto scaricato è crittografato, non può essere usato all'esterno di Azure Key Vault.
Esportare la chiave del tenant
Se si usa BYOK, non è possibile esportare la chiave del tenant da Azure Key Vault o Azure Information Protection. La copia in Azure Key Vault non è recuperabile.
Rispondere a una violazione
Nessun sistema di sicurezza, indipendentemente dalla forza, è completo senza un processo di risposta alle violazioni. La chiave del tenant potrebbe essere compromessa o rubata. Anche quando è protetta correttamente, le vulnerabilità potrebbero essere trovate nella tecnologia chiave di generazione corrente o nelle lunghezze e negli algoritmi chiave correnti.
Microsoft ha un team dedicato per rispondere agli eventi imprevisti di sicurezza nei propri prodotti e servizi. Non appena è presente un report credibile di un evento imprevisto, questo team si impegna per analizzare l'ambito, la causa radice e le mitigazioni. Se questo evento imprevisto influisce sugli asset, Microsoft invia una notifica agli amministratori globali del tenant tramite posta elettronica.
In caso di violazione, l'azione migliore che l'utente o Microsoft può intraprendere dipende dall'ambito della violazione; Microsoft collaborerà con l'utente tramite questo processo. La tabella seguente illustra alcune situazioni tipiche e la risposta probabile, anche se la risposta esatta dipende da tutte le informazioni rivelate durante l'indagine.
| Descrizione dell'evento imprevisto | Risposta probabile |
|---|---|
| La chiave del tenant viene persa. | Reimpostare la chiave del tenant. Vedere Reimpostare la chiave del tenant. |
| Un utente malintenzionato o un malware ha ottenuto diritti per l'uso della chiave del tenant, ma la chiave stessa non è stata persa. | La reimpostazione della chiave del tenant non è utile in questo caso e richiede l'analisi della causa radice. Se un processo o un bug software è responsabile dell'accesso dell'utente non autorizzato, tale situazione deve essere risolta. |
| Vulnerabilità individuata nella tecnologia HSM di generazione corrente. | Microsoft deve aggiornare i moduli di protezione hardware. Se c'è motivo di credere che la vulnerabilità esposta chiavi, Microsoft indicherà a tutti i clienti di reimpostare le chiavi del tenant. |
| La vulnerabilità individuata nell'algoritmo RSA o nella lunghezza della chiave o negli attacchi di forza bruta diventa fattibile a livello di calcolo. | Microsoft deve aggiornare Azure Key Vault o Azure Information Protection per supportare nuovi algoritmi e lunghezze di chiave più lunghe resilienti e indicare a tutti i clienti di reimpostare la chiave del tenant. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per