Criptografar dados do Defender for Cloud Apps em repouso com sua própria chave (BYOK)
Este artigo descreve como configurar o Defender for Cloud Apps para usar sua própria chave para criptografar os dados coletados, enquanto está em repouso. Se você estiver procurando documentação sobre como aplicar criptografia a dados armazenados em aplicativos na nuvem, consulte Integração com o Microsoft Purview.
O Defender for Cloud Apps leva a sua segurança e privacidade a sério. Portanto, uma vez que o Defender for Cloud Apps começa a coletar dados, ele usa suas próprias chaves gerenciadas para proteger seus dados de acordo com nossa política de segurança e privacidade de dados. Além disso, o Defender for Cloud Apps permite que você proteja ainda mais seus dados em repouso criptografando-os com sua própria chave do Cofre da Chave do Azure.
Importante
Se houver um problema para acessar sua chave do Cofre da Chave do Azure, o Defender for Cloud Apps não conseguirá criptografar seus dados e seu locatário será bloqueado em uma hora. Quando o seu inquilino estiver bloqueado, todo o acesso ao mesmo será bloqueado até que a causa seja resolvida. Assim que a sua chave estiver acessível novamente, o acesso total ao seu inquilino será restaurado.
Este procedimento está disponível apenas no portal do Microsoft Defender e não pode ser executado no portal clássico do Microsoft Defender for Cloud Apps.
Pré-requisitos
Você deve registrar o aplicativo Microsoft Defender for Cloud Apps - BYOK na ID do Microsoft Entra do seu locatário associada ao locatário do Defender for Cloud Apps.
Para registar a aplicação
Instale o Microsoft Graph PowerShell.
Abra um terminal do PowerShell e execute os seguintes comandos:
Connect-MgGraph -Scopes "Application.ReadWrite.All" # Create a new service principal New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd # Update Service Principal $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id $params = @{ accountEnabled = $true } Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $paramsOnde ServicePrincipalId é a ID retornada pelo comando anterior (
New-MgServicePrincipal).
Nota
- O Defender for Cloud Apps criptografa dados em repouso para todos os novos locatários.
- Todos os dados que residirem no Defender for Cloud Apps por mais de 48 horas serão criptografados.
Implantar sua chave do Azure Key Vault
Crie um novo Cofre da Chave com as opções de proteção Soft-delete e Purge ativadas.
No novo Cofre da Chave gerado, abra o painel Políticas de acesso e selecione +Adicionar política de acesso.
Selecione Permissões de chave e escolha as seguintes permissões no menu suspenso:
Section Permissões obrigatórias Operações de Gestão de Chaves - Lista Operações Criptográficas - Chave de embrulho
- Desembrulhar a chave
Em Selecionar entidade de segurança, escolha Microsoft Defender for Cloud Apps - BYOK ou Microsoft Cloud App Security - BYOK.
Selecione Guardar.
Crie uma nova chave RSA e faça o seguinte:
Nota
Apenas as chaves RSA são suportadas.
Depois de criar a chave, selecione a nova chave gerada, selecione a versão atual e, em seguida, você verá Operações permitidas.
Em Operações permitidas, verifique se as seguintes opções estão habilitadas:
- Encapsular a chave num wrapper
- Anular o encapsulamento da chave num wrapper
Copie o URI do identificador de chave. Precisará dele mais tarde.
Opcionalmente, se estiver usando um firewall para uma rede selecionada, defina as seguintes configurações de firewall para dar ao Defender for Cloud Apps acesso à chave especificada e clique em Salvar:
- Certifique-se de que nenhuma rede virtual está selecionada.
- Adicione os seguintes endereços IP:
- 13.66.200.132
- 23.100.71.251
- 40.78.82.214
- 51.105.4.145
- 52.166.166.111
- 13.72.32.204
- 52.244.79.38
- 52.227.8.45
- Selecione Permitir que serviços confiáveis da Microsoft ignorem esse firewall.
Ativar a criptografia de dados no Defender for Cloud Apps
Quando você habilita a criptografia de dados, o Defender for Cloud Apps usa imediatamente sua chave do Cofre da Chave do Azure para criptografar dados em repouso. Uma vez que a sua chave é essencial para o processo de encriptação, é importante garantir que o Cofre da Chave e a chave designados estão sempre acessíveis.
Para habilitar a criptografia de dados
No portal do Microsoft Defender, selecione Configurações Aplicativos na nuvem Criptografia de > dados Habilitar criptografia de dados.> >
Na caixa URI da chave do Cofre da Chave do Azure, cole o valor do URI do identificador de chave copiado anteriormente. O Defender for Cloud Apps sempre usa a versão de chave mais recente, independentemente da versão de chave especificada pelo URI.
Quando a validação do URI estiver concluída, selecione Ativar.
Nota
Quando você desabilita a criptografia de dados, o Defender for Cloud Apps remove a criptografia com sua própria chave dos dados em repouso. No entanto, seus dados permanecem criptografados pelas chaves gerenciadas do Defender for Cloud Apps.
Para desativar a criptografia de dados: vá para a guia Criptografia de dados e clique em Desabilitar criptografia de dados.
Manuseamento de rolos de chaves
Sempre que você cria novas versões da chave configurada para criptografia de dados, o Defender for Cloud Apps rola automaticamente para a versão mais recente da chave.
Como lidar com falhas de criptografia de dados
Se houver um problema para acessar sua chave do Cofre da Chave do Azure, o Defender for Cloud Apps não conseguirá criptografar seus dados e seu locatário será bloqueado em uma hora. Quando o seu inquilino estiver bloqueado, todo o acesso ao mesmo será bloqueado até que a causa seja resolvida. Assim que a sua chave estiver acessível novamente, o acesso total ao seu inquilino será restaurado. Para obter informações sobre como lidar com falhas de criptografia de dados, consulte Solução de problemas de criptografia de dados com sua própria chave.