O que é DKE (Double Key Encryption)?

  • Artigo

Aplica-se a: Microsoft Purview Double Key Encryption, Microsoft Purview, Azure Proteção de Informações

Descrição do serviço para: Microsoft Purview

O DKE (Double Key Encryption) permite que você proteja seus dados altamente confidenciais para atender aos requisitos especializados. O DKE permite manter o controle total das chaves de criptografia. Ele usa duas chaves para proteger dados; uma chave no controle e uma segunda chave que você armazena com segurança no Microsoft Azure. Você mantém o controle total de uma de suas chaves usando o serviço de Criptografia de Chave Dupla. Exibir dados protegidos com Criptografia de Chave Dupla requer acesso a ambas as chaves. Como os serviços da Microsoft só podem acessar a chave armazenada no Azure Key Vault, os dados protegidos permanecem inacessíveis para a Microsoft, garantindo que você tenha controle total sobre sua privacidade e segurança de dados.

O DKE ajuda você a atender aos requisitos regulatórios em vários regulamentos e padrões, como o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA), a Lei Gramm-Leach-Bliley (GLBA), a lei de localização de dados da Rússia – Lei Federal nº 242-FZ, a Lei Federal de Privacidade da Austrália de 1988 e a Lei de Privacidade da Nova Zelândia 1993.

Depois de configurar o serviço DKE e suas chaves, você aplicará proteção ao conteúdo altamente confidencial usando rótulos de confidencialidade.

Cenários de implantação com suporte

O DKE dá suporte a várias configurações diferentes, incluindo implantações locais e na nuvem. Essas implantações ajudam a garantir que os dados criptografados permaneçam opacos onde quer que você os armazene.

Você pode hospedar o serviço de Criptografia de Chave Dupla usado para solicitar sua chave em um local de sua escolha (servidor de gerenciamento de chaves local ou na nuvem). Você mantém o serviço como faria com qualquer outro aplicativo. A Criptografia de Chave Dupla permite controlar o acesso ao serviço de Criptografia de Chave Dupla. Você pode armazenar seus dados altamente confidenciais localmente ou movê-los para a nuvem. A Criptografia de Chave Dupla fornece o controle para armazenar seus dados e chave no mesmo local geográfico.

Para obter mais informações sobre as chaves raiz de locatário padrão baseadas em nuvem, consulte Planejamento e implementação da chave de locatário do Azure Proteção de Informações.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Quando sua organização deve adotar o DKE

O DKE não é para todas as organizações nem para todos os seus dados. Digamos que um cenário típico de dados organizacionais tenha a seguinte estrutura:

  • Dados sem sentido (cerca de 80% dos dados): a maioria dos dados de uma organização se enquadra nessa categoria. Não há problemas ou preocupações em mover esses dados para a nuvem hoje. Mover esses dados para a nuvem pode ser benéfico e a organização pode usar a segurança interna na nuvem.

  • Confidencial (cerca de 15% dos dados): dados confidenciais precisam ser protegidos. A organização espera que o provedor de serviços de nuvem forneça segurança ao mesmo tempo em que aumenta a produtividade para essa categoria de dados para que eles possam atender às regulamentações de conformidade. Você deseja garantir que esses dados sejam rotulados corretamente usando Proteção de Informações do Microsoft Purview e sejam protegidos com políticas de controle e retenção e auditoria de acesso.

  • Altamente sensível (cerca de 5% dos dados): esse conjunto é a joia da coroa da organização e precisa ser fortemente protegido. A organização não quer que ninguém, incluindo um provedor de serviços de nuvem, tenha acesso a esses dados. Essa categoria de dados também pode ter requisitos regulatórios para ter as chaves na mesma região geográfica que os dados. As chaves também podem precisar estar sob a custódia estrita da organização. Esse conteúdo tem a classificação mais alta em sua organização ("Top Secret") e o acesso é restrito a apenas algumas pessoas. Dados altamente confidenciais são o que os usuários mal-intencionados estão atrás. A perda desses dados pode prejudicar a reputação da organização e quebrar a confiança com seus clientes.

Conforme mencionado, a Criptografia de Chave Dupla destina-se aos seus dados mais confidenciais que estão sujeitos aos requisitos de proteção mais rigorosos. Você deve fazer a devida diligência na identificação dos dados certos a serem fornecidos com essa solução antes de implantar. Em alguns casos, talvez seja necessário restringir o escopo e usar outras soluções. Por exemplo, para a maioria dos dados, considere Proteção de Informações do Microsoft Purview com chaves gerenciadas pela Microsoft ou traga sua própria chave (BYOK). Essas soluções são suficientes para documentos que não estão sujeitos a proteções avançadas e requisitos regulatórios. Além disso, essas soluções permitem que você use os serviços mais poderosos do Microsoft 365; serviços que você não pode usar com conteúdo criptografado DKE. Por exemplo:

  • Regras de fluxo de email, incluindo anti-malware e spam que exigem visibilidade do anexo
  • Microsoft Delve
  • Descoberta eletrônica
  • Pesquisa e indexação de conteúdo
  • Office Aplicativos Web incluindo a funcionalidade de coautoria
  • Co-piloto

Todos os aplicativos ou serviços externos que não estejam integrados ao DKE por meio do SDK do Microsoft Proteção de Informações não podem executar ações nos dados criptografados.

Os dados criptografados DKE não estão acessíveis em repouso para serviços do Microsoft 365, incluindo Copilot. Enquanto você estiver usando seus dados criptografados DKE no Office, os dados ainda não estão acessíveis ao Copilot e você não pode usar Copilot em aplicativos enquanto estiver usando dados criptografados DKE. No entanto, se você configurar seu locatário para "Permitir o uso de experiências conectadas que analisam o conteúdo", seus dados estarão acessíveis a serviços conectados que analisam seu conteúdo, mas somente enquanto você o estiver usando. Para obter mais informações sobre essa configuração de privacidade, consulte Configuração de política para experiências conectadas que analisam o conteúdo. Você pode configurar a configuração para todo o locatário ou permite que os usuários a definam individualmente.

O Microsoft Proteção de Informações SDK 1.7+ dá suporte à Criptografia de Chave Dupla. Aplicativos que se integram ao nosso SDK podem argumentar sobre esses dados com permissões e integrações suficientes em vigor.

Use Proteção de Informações do Microsoft Purview recursos (classificação e rotulagem) para proteger a maioria dos dados confidenciais e usar apenas o DKE para seus dados críticos. A Criptografia de Chaves Duplas é relevante para dados confidenciais em setores altamente regulamentados, como serviços financeiros e saúde.

Se suas organizações tiverem qualquer um dos seguintes requisitos, você poderá usar o DKE para ajudar a proteger seu conteúdo:

  • Você não quer que a Microsoft tenha acesso a dados protegidos por conta própria.
  • Você tem requisitos regulatórios para manter chaves dentro de um limite geográfico. Todas as chaves que você contém para criptografia de dados e descriptografia são mantidas em seu data center.

Fluxo de trabalho de criptografia DKE

Esta seção divide o fluxo de trabalho em etapas separadas para ilustrar como duas chaves são usadas para proteger um documento do Office.

Etapa 1: Bootstrapping

Um diagrama mostra a etapa 1 do fluxo de trabalho de criptografia para DKE, inicialização.

O cliente do Microsoft Office executa tarefas de configuração de inicialização e envia solicitações e informações para o serviço de Proteção de Informações do Azure. Esse processo também é chamado de inicialização. As tarefas incluem autorizar o usuário usando Microsoft Entra ID, baixar certificados e modelos e assim por diante. Tarefas de inicialização são tarefas de conexão e inicialização pela primeira vez que dão ao usuário acesso às políticas de criptografia do Azure Rights Management.

Etapa 2: Coletar e armazenar em cache a chave pública do Gerenciamento de Direitos do Azure

Um diagrama mostra a etapa 2 do fluxo de trabalho de criptografia para DKE, coleta e armazena em cache a chave pública do Azure.

O aplicativo do Office recupera a chave pública do Key Vault do Azure no serviço de proteção de informações com base no usuário autorizado usando Microsoft Entra ID. Depois de coletado, o cliente armazena em cache a chave por 30 dias por padrão. Depois de armazenado em cache, o cliente não precisará inicializar o serviço do Azure Rights Management novamente até que a chave expire. Como administrador, você pode configurar um período de cache diferente para o Gerenciamento de Direitos do Azure. Você precisa definir um período de cache para essa chave ou aceitar o padrão de 30 dias. Sem um período de cache, a publicação offline não funciona.

Etapa 3: solicitar a chave pública DKE

Um diagrama mostra a etapa 3 do fluxo de trabalho de criptografia para DKE, solicite a chave pública DKE.

O cliente do Office solicita sua outra chave pública do serviço de Criptografia de Chave Dupla com base no usuário autorizado usando Microsoft Entra ID.

Etapa 4: Coletar e armazenar em cache a chave DKE

Um diagrama mostra a etapa 4 do fluxo de trabalho de criptografia para DKE, coleta e armazena em cache a chave pública DKE.

O serviço de Criptografia de Chave Dupla envia essa chave pública para o cliente do Office. O cliente armazena em cache a chave no dispositivo pelo tempo que você a configurou. Ao contrário da chave do Azure,

  • Você não precisa configurar um período de cache para a chave hospedada pelo serviço de Criptografia de Chave Dupla.

  • Se você quiser configurar um período de cache, poderá configurá-lo quando implantar o serviço de Criptografia de Chave Dupla ou depois de implantar.

Etapa 5: proteger o documento com a chave DKE

Um diagrama mostra a etapa 5 do fluxo de trabalho de criptografia para DKE, proteja o documento com a chave DKE.

O cliente do Microsoft Office criptografa a parte dos metadados que controla o acesso ao conteúdo usando sua chave pública que foi recuperada do serviço de Criptografia de Chave Dupla.

Etapa 6: proteger o documento com a chave do Azure

Um diagrama mostra a etapa 6 do fluxo de trabalho de criptografia para DKE, proteja o documento com a chave do Azure.

O cliente do Microsoft Office criptografa a parte já criptografada dos metadados do documento com sua chave pública do Azure.

Os dados agora estão protegidos com ambas as chaves.

Requisitos de sistema e licenciamento para DKE

Esta seção detalha os requisitos de configuração e sistema de cliente e servidor que devem ser atendidos antes que você possa implantar o DKE com êxito em seu ambiente.

requisitos de licenciamento para DKE

A Criptografia de Chave Dupla vem com Microsoft 365 E5. Se você não tiver uma licença de Microsoft 365 E5, poderá se inscrever para uma avaliação. Para obter mais informações sobre essas licenças, consulte Diretrizes de licenciamento do Microsoft 365 para segurança & conformidade.

O serviço de Gerenciamento de Direitos do Azure é necessário para dKE

O DKE funciona com rótulos de confidencialidade e requer criptografia com gerenciamento de direitos de Proteção de Informações do Microsoft Purview.

Requisitos de rotulagem DKE para aplicativos do Office

Use rótulos de confidencialidade integrados aos aplicativos do Office para dar suporte ao DKE em Word, Excel, PowerPoint e Outlook. Para versões com suporte, consulte as tabelas de recursos e a linha DKE (Double Key Encryption).

DKE em computadores cliente

Os usuários aplicam rótulos de confidencialidade DKE por meio dessas interfaces.

  • Rotulagem de confidencialidade em aplicativos do Windows Office

  • Proteção de Informações do Microsoft Purview rotulador de arquivo no Windows Explorador de Arquivos

  • Proteção de Informações do Microsoft Purview PowerShell

  • Proteção de Informações do Microsoft Purview scanner

Instale pré-requisitos em cada computador cliente em que você deseja proteger e consumir documentos protegidos.

Ambientes com suporte para armazenar e exibir conteúdo protegido por DKE

Aplicativos com suporte. Microsoft 365 Apps para Grandes Empresas clientes no Windows, incluindo Word, Excel, PowerPoint e Outlook.

Suporte a conteúdo online. Você pode armazenar documentos e arquivos protegidos com Criptografia de Chave Dupla online no SharePoint e no OneDrive. Você deve rotular e proteger documentos e arquivos com DKE por aplicativos com suporte antes de carregar nesses locais. Você pode compartilhar conteúdo criptografado por email, mas não pode exibir documentos e arquivos criptografados online. Em vez disso, você deve exibir conteúdo protegido usando os aplicativos de área de trabalho e clientes com suporte em seu computador local. A Microsoft não tem acesso à chave que você controla no serviço DKE. Sem as duas chaves, o Microsoft 365 não pode renderizar o conteúdo em um navegador. Portanto, documentos criptografados DKE não funcionam com o Microsoft Office online. Você ainda pode carregar documentos criptografados no SharePoint ou no OneDrive; no entanto, seus documentos são blobs criptografados para SharePoint e OneDrive.

Cenários de rotulagem fora dos aplicativos do Office. Aplicar rótulos DKE fora dos aplicativos do Office usando o rotulador de arquivo Proteção de Informações do Microsoft Purview em Explorador de Arquivos opções de clique com o botão direito do mouse, Proteção de Informações do Microsoft Purview PowerShell rotulando cmdlets ou o Proteção de Informações do Microsoft Purview scanner.

Somente criptografia e cenários Não Encaminhar. Não há suporte para Criptografar Somente e Não Encaminhar com DKE.

Conteúdo relacionado