Crittografare i dati inattivi delle app Defender per il cloud con la propria chiave (BYOK)

Articolo
04/15/2024

Questo articolo descrive come configurare Defender per il cloud App per usare la propria chiave per crittografare i dati raccolti, mentre è inattivo. Per informazioni sull'applicazione della crittografia ai dati archiviati nelle app cloud, vedere Integrazione di Azure Information Protection.

Defender per il cloud App prende sul serio la sicurezza e la privacy. Pertanto, una volta che Defender per il cloud App inizia a raccogliere i dati, usa le proprie chiavi gestite per proteggere i dati in conformità con l'informativa sulla sicurezza e la privacy dei dati. Inoltre, Defender per il cloud app consente di proteggere ulteriormente i dati inattivi crittografandoli con la propria chiave di Azure Key Vault.

Importante

Se si verifica un problema durante l'accesso alla chiave di Azure Key Vault, Defender per il cloud Le app non riusciranno a crittografare i dati e il tenant verrà bloccato entro un'ora. Quando il tenant è bloccato, tutti gli accessi verranno bloccati fino a quando la causa non viene risolta. Quando la chiave è nuovamente accessibile, verrà ripristinato l'accesso completo al tenant.

Questa procedura è disponibile solo nel portale di Microsoft Defender e non può essere eseguita nel portale delle app di Microsoft Defender per il cloud classico.

Prerequisiti

È necessario registrare l'app Microsoft Defender per il cloud Apps - BYOK nell'ID Microsoft Entra del tenant associato al tenant Defender per il cloud Apps.

Per registrare l'app

Installare Microsoft Graph PowerShell.

Aprire un terminale di PowerShell ed eseguire i comandi seguenti:

Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

Dove ServicePrincipalId è l'ID restituito dal comando precedente (New-MgServicePrincipal).

Nota

Defender per il cloud App crittografa i dati inattivi per tutti i nuovi tenant.
Tutti i dati che risiedono in app di Defender per il cloud per più di 48 ore verranno crittografati.

Distribuire la chiave di Azure Key Vault

Creare un nuovo insieme di credenziali delle chiavi con le opzioni di eliminazione temporanea e protezione ripulitura abilitate.
Nel nuovo insieme di credenziali delle chiavi generato aprire il riquadro Criteri di accesso e quindi selezionare +Aggiungi criteri di accesso.
1. Selezionare Autorizzazioni chiave e scegliere le autorizzazioni seguenti dal menu a discesa:
  
  Sezione Autorizzazioni necessarie
  
  Operazioni di gestione delle chiavi -Elenco
  
  Operazioni crittografiche - Eseguire il wrapping del tasto
  - Annulla il wrapping della chiave
2. In Seleziona entità scegliere Microsoft Defender per il cloud App - BYOK o Microsoft Cloud App Security - BYOK.
3. Seleziona Salva.
Creare una nuova chiave RSA ed eseguire le operazioni seguenti:

Nota

Sono supportate solo le chiavi RSA.
1. Dopo aver creato la chiave, selezionare la nuova chiave generata, selezionare la versione corrente e quindi verranno visualizzate le operazioni consentite.
2. In Operazioni consentite verificare che siano abilitate le opzioni seguenti:
  - Eseguire il wrapping della chiave
  - Annullare il wrapping della chiave
3. Copiare l'URI dell'identificatore di chiave. in quanto sarà necessario più avanti.
Facoltativamente, se si usa un firewall per una rete selezionata, configurare le impostazioni del firewall seguenti per concedere alle app di Defender per il cloud l'accesso alla chiave specificata e quindi fare clic su Salva:
1. Assicurarsi che non siano selezionate reti virtuali.
2. Aggiungere gli indirizzi IP seguenti:
  - 13.66.200.132
  - 23.100.71.251
  - 40.78.82.214
  - 51.105.4.145
  - 52.166.166.111
  - 13.72.32.204
  - 52.244.79.38
  - 52.227.8.45
3. Selezionare Consenti servizi Microsoft attendibile per ignorare il firewall.

Sezione	Autorizzazioni necessarie
Operazioni di gestione delle chiavi	-Elenco
Operazioni crittografiche	- Eseguire il wrapping del tasto - Annulla il wrapping della chiave

Abilitare la crittografia dei dati nelle app di Defender per il cloud

Quando si abilita la crittografia dei dati, Defender per il cloud App usa immediatamente la chiave di Azure Key Vault per crittografare i dati inattivi. Poiché la chiave è essenziale per il processo di crittografia, è importante assicurarsi che l'insieme di credenziali delle chiavi e la chiave designati siano sempre accessibili.

Per abilitare la crittografia dei dati

Nel portale di Microosft Defender selezionare Impostazioni > Crittografia > dei dati delle app > cloud Abilita crittografia dei dati.
Nella casella URI chiave di Azure Key Vault incollare il valore URI dell'identificatore di chiave copiato in precedenza. Defender per il cloud App usa sempre la versione chiave più recente, indipendentemente dalla versione della chiave specificata dall'URI.
Al termine della convalida dell'URI, selezionare Abilita.

Nota

Quando si disabilita la crittografia dei dati, Defender per il cloud App rimuove la crittografia con la propria chiave dai dati inattivi. Tuttavia, i dati rimangono crittografati da Defender per il cloud chiavi gestite delle app.

Per disabilitare la crittografia dei dati: passare alla scheda Crittografia dati e fare clic su Disabilita crittografia dati.

Gestione del rollback delle chiavi

Ogni volta che si creano nuove versioni della chiave configurata per la crittografia dei dati, Defender per il cloud App esegue automaticamente il rollback alla versione più recente della chiave.