Что такое шифрование с двойным ключом (DKE)?

  • Статья

Область применения: Шифрование двойного ключа Microsoft Purview, Microsoft Purview, Azure Information Protection

Описание службы для: Microsoft Purview

Шифрование с двойным ключом (DKE) позволяет защитить конфиденциальные данные в соответствии со специальными требованиями. DKE позволяет поддерживать полный контроль над ключами шифрования. Он использует два ключа для защиты данных; один ключ в элементе управления и второй ключ, который вы безопасно храните в Microsoft Azure. Вы сохраняете полный контроль над одним из ключей с помощью службы шифрования двойных ключей. Для просмотра данных, защищенных с помощью шифрования двойного ключа, требуется доступ к обоим ключам. Так как службы Майкрософт могут получить доступ только к ключу, хранящейся в azure Key Vault, защищенные данные остаются недоступными для корпорации Майкрософт, обеспечивая полный контроль над конфиденциальностью и безопасностью данных.

DKE помогает вам выполнить нормативные требования, касающиеся нескольких нормативных актов и стандартов, таких как Общий регламент по защите данных (GDPR), Закон о переносимости и подотчетности медицинского страхования (HIPAA), Закон Gramm-Leach-Bliley (GLBA), закон о локализации данных в России — Федеральный закон No 242-FZ, Федеральный закон Австралии о конфиденциальности 1988 года и Закон о конфиденциальности Новой Зеландии 1993 года.

После настройки службы DKE и ключей вы применяете защиту к содержимому с высоким уровнем конфиденциальности с помощью меток конфиденциальности.

Поддерживаемые сценарии развертывания

DKE поддерживает несколько различных конфигураций, включая облачные и локальные развертывания. Эти развертывания помогают гарантировать, что зашифрованные данные остаются непрозрачными, где бы вы ни хранили их.

Службу шифрования двух ключей, используемую для запроса ключа, можно разместить в выбранном месте (на локальном сервере управления ключами или в облаке). Служба поддерживается так же, как и любое другое приложение. Шифрование двойных ключей позволяет управлять доступом к службе шифрования двойных ключей. Вы можете хранить конфиденциальные данные в локальной среде или перемещать их в облако. Шифрование двойного ключа предоставляет элемент управления для хранения данных и ключа в одном географическом расположении.

Дополнительные сведения о корневых ключах по умолчанию облачных клиентов см. в статье Планирование и реализация ключа клиента Information Protection Azure.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Когда ваша организация должна внедрить DKE

DKE не для каждой организации и не для всех ваших данных. Предположим, что типичный ландшафт данных организации имеет следующую структуру:

  • Нечувствительные данные (около 80 % данных). Большая часть данных организации попадает в эту категорию. На сегодняшний день с перемещением этих данных в облако не возникает никаких проблем. Перемещение таких данных в облако может быть полезным, и организация может использовать встроенную в облако систему безопасности.

  • Конфиденциальные (около 15 % данных). Конфиденциальные данные должны быть защищены. Организация ожидает, что поставщик облачных служб обеспечит безопасность, повышая производительность для этой категории данных, чтобы они могли соответствовать нормативным требованиям. Вы хотите убедиться, что эти данные помечены правильно с помощью Защита информации Microsoft Purview и защищены с помощью политик управления доступом, хранения и аудита.

  • Высокая конфиденциальность (около 5 % данных). Этот набор является жемчужиной организации, и его необходимо тщательно охранять. Организация не хочет, чтобы у кого-либо, включая поставщика облачных служб, был доступ к таким данным. Эта категория данных также может иметь нормативные требования, чтобы ключи находились в том же географическом регионе, что и данные. Ключи также могут находиться под строгим контролем организации. Это содержимое имеет самую высокую классификацию в вашей организации ("Совершенно секретно"), и доступ ограничен несколькими людьми. Очень конфиденциальные данные — это то, за чем работают вредоносные пользователи. Потеря этих данных может нанести ущерб репутации организации и повредить доверие со своими клиентами.

Как уже упоминалось, шифрование с двойным ключом предназначено для наиболее конфиденциальных данных, на которые распространяются самые строгие требования к защите. Перед развертыванием необходимо выполнить должную осмотрительность при определении нужных данных для покрытия этого решения. В некоторых случаях может потребоваться сузить область и использовать другие решения. Например, для большинства данных рассмотрите возможность Защита информации Microsoft Purview с ключами, управляемыми Корпорацией Майкрософт, или принести собственный ключ (BYOK). Этих решений достаточно для документов, на которые не распространяются расширенные меры защиты и нормативные требования. Кроме того, эти решения позволяют использовать самые мощные службы Microsoft 365. службы, которые нельзя использовать с зашифрованным содержимым DKE. Например:

  • Правила потока обработки почты, включая защиту от вредоносных программ и спама, которые требуют видимости вложения
  • Microsoft Delve
  • Обнаружение электронных данных
  • Поиск и индексирование содержимого
  • Office веб-приложения, включая функции совместного редактирования
  • Копилот

Любые внешние приложения или службы, которые не интегрированы с DKE с помощью пакета SDK microsoft Information Protection, не могут выполнять действия с зашифрованными данными.

Зашифрованные данные DKE недоступны для неактивных служб Microsoft 365, включая Copilot. Пока вы используете зашифрованные данные DKE в Office, они по-прежнему недоступны для Copilot, и вы не можете использовать Copilot в приложениях, пока используете зашифрованные данные DKE. Однако если вы настроили клиент так: "Разрешить использование подключенных интерфейсов для анализа содержимого", данные будут доступны подключенным службам, которые анализируют содержимое, но только во время их использования. Дополнительные сведения об этом параметре конфиденциальности см. в разделе Параметр политики для подключенных интерфейсов, которые анализируют содержимое. Вы можете настроить параметр для всего клиента или разрешить пользователям настраивать его для себя по отдельности.

Пакет SDK microsoft Information Protection версии 1.7+ поддерживает шифрование с двойным ключом. Приложения, которые интегрируются с нашим пакетом SDK, могут использовать эти данные с достаточными разрешениями и интеграциями.

Используйте возможности Защита информации Microsoft Purview (классификация и маркировка), чтобы защитить большую часть конфиденциальных данных и использовать DKE только для критически важных данных. Шифрование с двойным ключом относится к конфиденциальным данным в строго регулируемых отраслях, таких как финансовые услуги и здравоохранение.

Если у вашей организации есть одно из следующих требований, вы можете использовать DKE для защиты содержимого:

  • Вы не хотите, чтобы корпорация Майкрософт самостоятельно имели доступ к защищенным данным.
  • У вас есть нормативные требования для хранения ключей в пределах географической границы. Все ключи, которые хранятся для шифрования и расшифровки данных, хранятся в центре обработки данных.

Рабочий процесс шифрования DKE

В этом разделе рабочий процесс разбивается на отдельные шаги, чтобы проиллюстрировать использование двух ключей для защиты документа Office.

Шаг 1. Начальная загрузка

На схеме показан шаг 1 рабочего процесса шифрования для DKE, начальная загрузка.

Клиент Microsoft Office выполняет задачи настройки запуска и отправляет запросы и сведения в службу Information Protection Azure. Этот процесс также называется начальной загрузкой. Задачи включают авторизацию пользователя с помощью Microsoft Entra ID, скачивание сертификатов и шаблонов и т. д. Задачи начальной загрузки — это задачи первого подключения и запуска, которые предоставляют пользователю доступ к политикам шифрования Azure Rights Management.

Шаг 2. Сбор и кэширование открытого ключа Azure Rights Management

На схеме показан шаг 2 рабочего процесса шифрования для DKE, сбора и кэширования открытого ключа Azure.

Приложение Office получает открытый ключ из Key Vault Azure в службе защиты информации на основе авторизованного пользователя, использующий Microsoft Entra ID. После сбора клиент кэширует ключ в течение 30 дней по умолчанию. После кэширования клиенту не нужно снова загружаться в службу Azure Rights Management до истечения срока действия ключа. Администратор может настроить другой период кэширования для Azure Rights Management. Необходимо задать период кэша для этого ключа или принять значение по умолчанию 30 дней. Без периода кэша автономная публикация не работает.

Шаг 3. Запрос открытого ключа DKE

На схеме показан шаг 3 рабочего процесса шифрования для DKE, запрос открытого ключа DKE.

Клиент Office запрашивает другой открытый ключ из службы шифрования двойного ключа на основе авторизованного пользователя, использующий Microsoft Entra ID.

Шаг 4. Сбор и кэширование ключа DKE

На схеме показан шаг 4 рабочего процесса шифрования для DKE, сбора и кэширования открытого ключа DKE.

Служба шифрования двойного ключа отправляет этот открытый ключ клиенту Office. Клиент кэширует ключ на устройстве до тех пор, пока вы настроили его. В отличие от ключа из Azure,

  • Вам не нужно настраивать период кэша для ключа, размещенного в службе шифрования двойных ключей.

  • Если вы хотите настроить период кэша, его можно настроить при развертывании службы шифрования двойного ключа или после развертывания.

Шаг 5. Защита документа с помощью ключа DKE

На схеме показан шаг 5 рабочего процесса шифрования для DKE, защита документа с помощью ключа DKE.

Клиент Microsoft Office шифрует часть метаданных , которая управляет доступом к содержимому с помощью открытого ключа, полученного из службы шифрования двойного ключа.

Шаг 6. Защита документа с помощью ключа Azure

На схеме показан шаг 6 рабочего процесса шифрования для DKE, защита документа с помощью ключа Azure.

Клиент Microsoft Office шифрует уже зашифрованную часть метаданных документа с помощью открытого ключа из Azure.

Теперь данные защищены с помощью обоих ключей.

Требования к системе и лицензированию для DKE

В этом разделе описаны требования к системе и конфигурации сервера и клиента, которые должны быть выполнены, прежде чем вы сможете успешно развернуть DKE в своей среде.

Требования к лицензированию для DKE

Шифрование с двойным ключом поставляется вместе с Microsoft 365 E5. Если у вас нет лицензии на Microsoft 365 E5, вы можете зарегистрироваться для получения пробной версии. Дополнительные сведения об этих лицензиях см. в руководстве по лицензированию Microsoft 365 по обеспечению безопасности & соответствия требованиям.

Для DKE требуется служба Azure Rights Management.

DKE работает с метками конфиденциальности и требует шифрования с помощью управления правами из Защита информации Microsoft Purview.

Требования к маркировке DKE для приложений Office

Используйте метки конфиденциальности, встроенные в приложения Office, для поддержки DKE в Word, Excel, PowerPoint и Outlook. Поддерживаемые версии см. в таблицах возможностей и строке Шифрование двойного ключа (DKE).

DKE на клиентских компьютерах

Пользователи применяют метки конфиденциальности DKE через эти интерфейсы.

  • Метки конфиденциальности в приложениях Windows Office

  • средство метки файлов Защита информации Microsoft Purview в Windows проводник

  • Защита информации Microsoft Purview PowerShell

  • сканер Защита информации Microsoft Purview

Установите необходимые компоненты на каждом клиентском компьютере, где требуется защитить и использовать защищенные документы.

Поддерживаемые среды для хранения и просмотра содержимого, защищенного DKE

Поддерживаемые приложения. Приложения Microsoft 365 для предприятий клиентов в Windows, включая Word, Excel, PowerPoint и Outlook.

Поддержка содержимого в Интернете. Документы и файлы, защищенные с помощью шифрования двойного ключа, можно хранить в Интернете в SharePoint и OneDrive. Перед отправкой в эти расположения необходимо пометить и защитить документы и файлы с помощью DKE поддерживаемых приложений. Вы можете поделиться зашифрованным содержимым по электронной почте, но не можете просматривать зашифрованные документы и файлы в Интернете. Вместо этого необходимо просматривать защищенное содержимое с помощью поддерживаемых классических приложений и клиентов на локальном компьютере. У корпорации Майкрософт нет доступа к ключу, который вы контролируете в службе DKE. Без обоих ключей Microsoft 365 не сможет отобразить содержимое в браузере. Таким образом, зашифрованные документы DKE не работают с Microsoft Office Online. Вы по-прежнему можете отправлять зашифрованные документы в SharePoint или OneDrive. Однако ваши документы являются зашифрованными BLOB-объектами в SharePoint и OneDrive.

Сценарии маркировки за пределами приложений Office. Применение меток DKE за пределами приложений Office с помощью средства метки файлов Защита информации Microsoft Purview в проводник щелкните правой кнопкой мыши параметры, Защита информации Microsoft Purview командлеты маркировки PowerShell или сканер Защита информации Microsoft Purview.

Сценарии только шифрования и не пересылать. Только шифрование и Не пересылать не поддерживаются в DKE.

Связанные материалы