Partilhar via


Traga seus próprios detalhes de chave (BYOK) para a Proteção de Informações do Azure

Nota

Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

O suplemento Proteção de Informações do Azure foi retirado e substituído por rótulos incorporados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O cliente Microsoft Purview Information Protection (sem o suplemento) está disponível em geral.

As organizações com uma subscrição do Azure Information Protection podem optar por configurar o inquilino com a própria chave, em vez de uma chave predefinida gerada pela Microsoft. Esta configuração é, frequentemente, referida como Bring Your Own Key (BYOK).

O BYOK e o log de uso funcionam perfeitamente com aplicativos que se integram ao serviço Azure Rights Management usado pela Proteção de Informações do Azure.

As aplicações suportadas incluem:

  • Serviços na nuvem, como o Microsoft SharePoint ou o Microsoft 365

  • Serviços locais que executam aplicativos do Exchange e do SharePoint que usam o serviço Azure Rights Management por meio do conector RMS

  • Aplicativos cliente, como Office 2019, Office 2016 e Office 2013

Gorjeta

Se necessário, aplique segurança adicional a documentos específicos usando uma chave local adicional. Para obter mais informações, consulte Proteção DKE (Double Key Encryption) (somente cliente de rotulagem unificado).

Armazenamento de chaves do Azure Key Vault

As chaves geradas pelo cliente devem ser armazenadas no Cofre de Chaves do Azure para proteção BYOK.

Nota

Usar chaves protegidas por HSM no Cofre de Chaves do Azure requer uma camada de serviço do Azure Key Vault Premium, que incorre em uma taxa de assinatura mensal adicional.

Partilhar cofres de chaves e subscrições

Recomendamos o uso de um cofre de chaves dedicado para sua chave de locatário. Cofres de chaves dedicados ajudam a garantir que as chamadas de outros serviços não façam com que os limites de serviço sejam excedidos. Exceder os limites de serviço no cofre de chaves onde sua chave de locatário está armazenada pode causar limitação do tempo de resposta para o serviço Azure Rights Management.

Como diferentes serviços têm requisitos de gerenciamento de chaves variados, a Microsoft também recomenda o uso de uma assinatura dedicada do Azure para seu cofre de chaves. Subscrições dedicadas do Azure:

  • Ajude a proteger contra configurações incorretas

  • São mais seguros quando diferentes serviços têm administradores diferentes

Para partilhar uma subscrição do Azure com outros serviços que utilizam o Cofre da Chave do Azure, certifique-se de que a subscrição partilha um conjunto comum de administradores. Confirmar que todos os administradores que usam a assinatura têm um entendimento sólido de todas as chaves que podem acessar, significa que eles têm menos probabilidade de configurar incorretamente suas chaves.

Exemplo: Usando uma assinatura compartilhada do Azure quando os administradores da sua chave de locatário da Proteção de Informações do Azure são os mesmos indivíduos que administram suas chaves para a Chave do Cliente do Office 365 e o CRM online. Se os principais administradores desses serviços forem diferentes, recomendamos o uso de assinaturas dedicadas.

Benefícios de usar o Azure Key Vault

O Azure Key Vault fornece uma solução de gerenciamento de chaves centralizada e consistente para muitos serviços locais e baseados em nuvem que usam criptografia.

Além de gerenciar chaves, o Cofre de Chaves do Azure oferece aos administradores de segurança a mesma experiência de gerenciamento para armazenar, acessar e gerenciar certificados e segredos (como senhas) para outros serviços e aplicativos que usam criptografia.

Armazenar sua chave de locatário no Cofre da Chave do Azure oferece as seguintes vantagens:

Vantagem Description
Interfaces integradas O Azure Key Vault dá suporte a várias interfaces internas para gerenciamento de chaves, incluindo PowerShell, CLI, APIs REST e o portal do Azure.

Outros serviços e ferramentas foram integrados ao Key Vault para recursos otimizados para tarefas específicas, como monitoramento.

Por exemplo, analise seus logs de uso de chaves com a análise de log do Operations Management Suite, defina alertas quando os critérios especificados forem atendidos e assim por diante.
Separação de funções O Azure Key Vault fornece separação de funções como uma prática recomendada de segurança reconhecida.

A separação de funções garante que os administradores da Proteção de Informações do Azure possam se concentrar em suas prioridades mais altas, incluindo o gerenciamento de classificação e proteção de dados, bem como chaves de criptografia e políticas para requisitos específicos de segurança ou conformidade.
Localização da chave mestra O Azure Key Vault está disponível em vários locais e dá suporte a organizações com restrições onde as chaves mestras podem residir.

Para obter mais informações, consulte a página Produtos disponíveis por região no site do Azure.
Domínios de segurança separados O Azure Key Vault usa domínios de segurança separados para seus data centers em regiões como América do Norte, EMEA (Europa, Oriente Médio e África) e Ásia.

O Azure Key Vault também usa diferentes instâncias do Azure, como o Microsoft Azure Alemanha e o Azure Government.
Experiência unificada O Azure Key Vault também permite que os administradores de segurança armazenem, acessem e gerenciem certificados e segredos, como senhas, para outros serviços que usam criptografia.

Usar o Azure Key Vault para suas chaves de locatário fornece uma experiência de usuário perfeita para administradores que gerenciam todos esses elementos.

Para obter as atualizações mais recentes e saber como outros serviços usam o Azure Key Vault, visite o blog da equipe do Azure Key Vault.

Log de uso do BYOK

Os logs de uso são gerados por cada aplicativo que faz solicitações ao serviço Azure Rights Management.

Embora o log de uso seja opcional, recomendamos usar os logs de uso quase em tempo real da Proteção de Informações do Azure para ver exatamente como e quando sua chave de locatário está sendo usada.

Para obter mais informações sobre o log de uso de chave para BYOK, consulte Registrando em log e analisando o uso de proteção da Proteção de Informações do Azure.

Gorjeta

Para obter garantia adicional, o log de uso da Proteção de Informações do Azure pode ser cruzado com o log do Cofre de Chaves do Azure. Os logs do Cofre da Chave fornecem um método confiável para monitorar independentemente se sua chave só é usada pelo serviço Azure Rights Management.

Se necessário, revogue imediatamente o acesso à sua chave removendo as permissões no cofre de chaves.

Opções para criar e armazenar a sua chave

Nota

Para obter mais informações sobre a oferta do HSM gerenciado e como configurar um cofre e uma chave, consulte a documentação do Cofre de Chaves do Azure.

Instruções adicionais sobre como conceder autorização de chave são descritas abaixo.

O BYOK dá suporte a chaves que são criadas no Cofre de Chaves do Azure ou localmente.

Se você criar sua chave localmente, deverá transferi-la ou importá-la para o Cofre da Chave e configurar a Proteção de Informações do Azure para usar a chave. Execute qualquer gerenciamento de chaves adicional de dentro do Cofre de Chaves do Azure.

Opções para criar e armazenar a sua própria chave:

  • Criado no Azure Key Vault. Crie e armazene sua chave no Cofre de Chaves do Azure como uma chave protegida por HSM ou uma chave protegida por software.

  • Criado localmente. Crie sua chave local e transfira-a para o Cofre de Chaves do Azure usando uma das seguintes opções:

    • Chave protegida por HSM, transferida como uma chave protegida por HSM. O método mais típico escolhido.

      Embora esse método tenha a maior sobrecarga administrativa, pode ser necessário que sua organização siga regulamentações específicas. Os HSMs usados pelo Azure Key Vault têm validação FIPS 140.

    • Chave protegida por software que é convertida e transferida para o Cofre de Chaves do Azure como uma chave protegida por HSM. Esse método é suportado somente ao migrar do Ative Directory Rights Management Services (AD RMS).

    • Criado no local como uma chave protegida por software e transferido para o Cofre de Chaves do Azure como uma chave protegida por software. Este método requer um arquivo . Arquivo de certificado PFX.

Por exemplo, faça o seguinte para usar uma chave criada localmente:

  1. Gere a sua chave de inquilino nas suas instalações, de acordo com as políticas de TI e segurança da sua organização. Esta chave é a cópia mestra. Ele permanece no local e você é necessário para seu backup.

  2. Crie uma cópia da chave mestra e transfira-a com segurança do seu HSM para o Azure Key Vault. Durante todo esse processo, a cópia mestre da chave nunca sai do limite de proteção de hardware.

Uma vez transferida, a cópia da chave é protegida pelo Cofre de Chaves do Azure.

Exportando seu domínio de publicação confiável

Se você decidir parar de usar a Proteção de Informações do Azure, precisará de um domínio de publicação confiável (TPD) para descriptografar o conteúdo protegido pela Proteção de Informações do Azure.

No entanto, a exportação do TPD não é suportada se estiver a utilizar o BYOK para a sua chave de Proteção de Informações do Azure.

Para se preparar para esse cenário, certifique-se de criar um TPD adequado com antecedência. Para obter mais informações, consulte Como preparar um plano "Cloud Exit" da Proteção de Informações do Azure.

Implementando o BYOK para sua chave de locatário da Proteção de Informações do Azure

Use as seguintes etapas para implementar o BYOK:

  1. Revise os pré-requisitos do BYOK
  2. Escolha um local do Cofre da Chave
  3. Crie e configure a sua chave

Pré-requisitos do BYOK

Os pré-requisitos do BYOK variam, dependendo da configuração do sistema. Verifique se o sistema está em conformidade com os seguintes pré-requisitos, conforme necessário:

Requisito Description
Subscrição do Azure Necessário para todas as configurações.
Para obter mais informações, consulte Verificando se você tem uma assinatura do Azure compatível com BYOK.
Módulo AIPService PowerShell para Proteção de Informações do Azure Necessário para todas as configurações.
Para obter mais informações, consulte Instalando o módulo AIPService PowerShell.
Pré-requisitos do Azure Key Vault para BYOK Se você estiver usando uma chave protegida por HSM que foi criada localmente, certifique-se de também cumprir os pré-requisitos para BYOK listados na documentação do Cofre de Chaves do Azure.
Firmware Thales versão 11.62 Você deve ter uma versão de firmware da Thales de 11.62 se estiver migrando do AD RMS para a Proteção de Informações do Azure usando a chave de software para a chave de hardware e estiver usando o firmware da Thales para seu HSM.
Bypass de firewall para serviços confiáveis da Microsoft Se o cofre de chaves que contém sua chave de locatário usar Pontos de Extremidade do Serviço de Rede Virtual para o Cofre de Chaves do Azure, você deverá permitir que serviços confiáveis da Microsoft ignorem esse firewall.
Para obter mais informações, consulte Pontos de extremidade do serviço de rede virtual para o Cofre de Chaves do Azure.

Verificar se tem uma subscrição do Azure compatível com BYOK

Seu locatário da Proteção de Informações do Azure deve ter uma assinatura do Azure. Se você ainda não tem uma, você pode se inscrever para uma conta gratuita. No entanto, para usar uma chave protegida por HSM, você deve ter a camada de serviço Premium do Azure Key Vault.

A assinatura gratuita do Azure que fornece acesso à configuração do Microsoft Entra e à configuração de modelo personalizado do Azure Rights Management não é suficiente para usar o Azure Key Vault.

Para confirmar se você tem uma assinatura do Azure compatível com o BYOK, faça o seguinte para verificar, usando cmdlets do Azure PowerShell :

  1. Inicie uma sessão do Azure PowerShell como administrador.

  2. Entre como administrador global para seu locatário da Proteção de Informações do Azure usando o Connect-AzAccount.

  3. Copie o token exibido para a área de transferência. Em seguida, em um navegador, vá para https://microsoft.com/devicelogin e insira o token copiado.

    Para obter mais informações, consulte Entrar com o Azure PowerShell.

  4. Na sessão do PowerShell, insira Get-AzSubscriptione confirme se os seguintes valores são exibidos:

    • O nome e ID da sua subscrição
    • Sua ID de locatário da Proteção de Informações do Azure
    • Confirmação de que o estado está ativado

    Se nenhum valor for exibido e você for retornado ao prompt, você não terá uma assinatura do Azure que possa ser usada para BYOK.

Escolher a localização do cofre de chaves

Ao criar um cofre de chaves para conter a chave a ser usada como sua chave de locatário para as Informações do Azure, você deve especificar um local. Esse local é uma região do Azure ou uma instância do Azure.

Faça sua escolha primeiro para conformidade e, em seguida, para minimizar a latência da rede:

  • Se você tiver escolhido o método de chave BYOK por motivos de conformidade, esses requisitos de conformidade também podem determinar qual região ou instância do Azure pode ser usada para armazenar sua chave de locatário da Proteção de Informações do Azure.

  • Todas as chamadas criptográficas para cadeia de proteção para sua chave de Proteção de Informações do Azure. Portanto, convém minimizar a latência de rede que essas chamadas exigem criando seu cofre de chaves na mesma região ou instância do Azure que seu locatário da Proteção de Informações do Azure.

Para identificar o local do locatário da Proteção de Informações do Azure, use o cmdlet Get-AipServiceConfiguration PowerShell e identifique a região a partir das URLs. Por exemplo:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

A região é identificável a partir de rms.na.aadrm.com, e para este exemplo, está na América do Norte.

A tabela a seguir lista as regiões e instâncias recomendadas do Azure para minimizar a latência da rede:

Região ou instância do Azure Localização recomendada para o cofre das chaves
RMS.na.aadrm.com Centro-Norte dos EUA ou Leste dos EUA
RMS.EU.aadrm.com Europa do Norte ou Europa Ocidental
RMS.AP.aadrm.com Ásia Oriental ou Sudeste Asiático
RMS.SA.aadrm.com Oeste dos EUA ou Leste dos EUA
RMS.govus.aadrm.com Centro dos EUA ou Leste dos EUA 2
RMS.aadrm.us Gov dos EUA Virgínia ou Gov dos EUA Arizona
RMS.aadrm.cn China Leste 2 ou China Norte 2

Crie e configure a sua chave

Importante

Para obter informações específicas para HSMs gerenciados, consulte Habilitando autorização de chave para chaves HSM gerenciadas por meio da CLI do Azure.

Crie um Cofre da Chave do Azure e a chave que você deseja usar para a Proteção de Informações do Azure. Para obter mais informações, consulte a documentação do Azure Key Vault.

Observe o seguinte para configurar seu Cofre de Chaves do Azure e a chave para BYOK:

Requisitos de comprimento da chave

Ao criar a chave, certifique-se de que o comprimento da chave é de 2048 bits (recomendado) ou 1024 bits. Outros comprimentos de chave não são suportados pela Proteção de Informações do Azure.

Nota

As chaves de 1024 bits não são consideradas como oferecendo um nível adequado de proteção para chaves de locatário ativas.

A Microsoft não endossa o uso de comprimentos de chave mais baixos, como chaves RSA de 1024 bits, e o uso associado de protocolos que oferecem níveis inadequados de proteção, como SHA-1.

Criar uma chave protegida por HSM no local e transferi-la para o cofre de chaves

Para criar uma chave protegida por HSM no local e transferi-la para seu cofre de chaves como uma chave protegida por HSM, siga os procedimentos na documentação do Cofre de Chaves do Azure: Como gerar e transferir chaves protegidas por HSM para o Cofre de Chaves do Azure.

Para que a Proteção de Informações do Azure use a chave transferida, todas as operações do Cofre da Chave devem ser permitidas para a chave, incluindo:

  • encriptar
  • desencriptar
  • Chave do WrapKey
  • unwrapKey
  • sinal
  • verificar

Por padrão, todas as operações do Cofre da Chave são permitidas.

Para verificar as operações permitidas para uma chave específica, execute o seguinte comando do PowerShell:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Se necessário, adicione operações permitidas usando Update-AzKeyVaultKey e o parâmetro KeyOps.

Configurando a Proteção de Informações do Azure com sua ID de chave

As chaves armazenadas no Cofre de Chaves do Azure têm cada uma uma ID de chave.

O ID da chave é um URL que contém o nome do cofre de chaves, o contêiner de chaves, o nome da chave e a versão da chave. Por exemplo: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Configure a Proteção de Informações do Azure para usar sua chave especificando sua URL do cofre de chaves.

Autorizar o serviço Azure Rights Management a utilizar a sua chave

O serviço Azure Rights Management deve estar autorizado a usar sua chave. Os administradores do Azure Key Vault podem habilitar essa autorização usando o portal do Azure ou o Azure PowerShell.

Habilitando a autorização de chave usando o portal do Azure
  1. Entre no portal do Azure e vá para Cofres de<>chaves seu nome>>do cofre de chaves Políticas de acesso>Adicionar novo.

  2. No painel Adicionar política de acesso, na caixa de listagem Configurar a partir do modelo (opcional), selecione BYOK da Proteção de Informações do Azure e clique em OK.

    O modelo selecionado tem a seguinte configuração:

    • O valor Selecionar principal é definido como Microsoft Rights Management Services.
    • As permissões de chave selecionadas incluem Get, Decrypt e Sign.
Habilitando a autorização de chaves usando o PowerShell

Execute o cmdlet PowerShell do Cofre da Chave, Set-AzKeyVaultAccessPolicy, e conceda permissões à entidade de serviço do Azure Rights Management usando o GUID 00000012-0000-0000-c000-0000000000000.

Por exemplo:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Habilitando a autorização de chave para chaves HSM gerenciadas por meio da CLI do Azure

Para conceder permissões de usuário principal do serviço Azure Rights Management como um usuário Managed HSM Crypto , execute o seguinte comando:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Em que:

  • ContosoMHSM é um nome HSM de exemplo. Ao executar esse comando, substitua esse valor pelo seu próprio nome HSM.

A função de usuário Managed HSM Crypto User permite que o usuário descriptografe, assine e obtenha permissões para a chave, que são todas necessárias para a funcionalidade Managed HSM.

Configurar a Proteção de Informações do Azure para usar sua chave

Depois de concluir todas as etapas acima, você estará pronto para configurar a Proteção de Informações do Azure para usar essa chave como a chave de locatário da sua organização.

Usando cmdlets do Azure RMS, execute os seguintes comandos:

  1. Conecte-se ao serviço Azure Rights Management e entre:

    Connect-AipService
    
  2. Execute o cmdlet Use-AipServiceKeyVaultKey, especificando a URL da chave. Por exemplo:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Importante

    Neste exemplo, <key-version> é a versão da chave que você deseja usar. Se você não especificar a versão, a versão atual da chave será usada por padrão e o comando poderá parecer funcionar. No entanto, se sua chave for atualizada ou renovada posteriormente, o serviço Azure Rights Management deixará de funcionar para seu locatário, mesmo se você executar o comando Use-AipServiceKeyVaultKey novamente.

    Use o comando Get-AzKeyVaultKey conforme necessário para obter o número da versão da chave atual.

    Por exemplo: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Para confirmar se a URL da chave está definida corretamente para a Proteção de Informações do Azure, execute o comando Get-AzKeyVaultKey no Cofre da Chave do Azure para exibir a URL da chave.

  3. Se o serviço Azure Rights Management já estiver ativado, execute Set-AipServiceKeyProperties para informar à Proteção de Informações do Azure para usar essa chave como a chave de locatário ativa para o serviço Azure Rights Management.

A Proteção de Informações do Azure agora está configurada para usar sua chave em vez da chave padrão criada pela Microsoft que foi criada automaticamente para seu locatário.

Próximos passos

Depois de configurar a proteção BYOK, continue em Introdução à chave raiz do locatário para obter mais informações sobre como usar e gerenciar sua chave.