Поделиться через


Что такое шифрование с двойным ключом (DKE)?

Область применения: Шифрование двойного ключа Microsoft Purview, Microsoft Purview, Azure Information Protection

Описание службы для: Microsoft Purview

Шифрование с двойным ключом (DKE) позволяет защитить конфиденциальные данные в соответствии со специальными требованиями. DKE позволяет контролировать ключи шифрования. Он использует два ключа для защиты данных; один ключ в элементе управления и второй ключ, который вы безопасно храните в Microsoft Azure. Вы контролируете один из ключей с помощью службы шифрования двойных ключей. Для просмотра данных, защищенных с помощью шифрования двойного ключа, требуется доступ к обоим ключам.

DKE помогает вам выполнить нормативные требования, касающиеся нескольких нормативных актов и стандартов, таких как Общий регламент по защите данных (GDPR), Закон о переносимости и подотчетности медицинского страхования (HIPAA), Закон Gramm-Leach-Bliley (GLBA), закон о локализации данных в России — Федеральный закон No 242-FZ, Федеральный закон Австралии о конфиденциальности 1988 года и Закон о конфиденциальности Новой Зеландии 1993 года.

После настройки службы DKE и ключей вы применяете защиту к содержимому с высоким уровнем конфиденциальности с помощью меток конфиденциальности.

Поддерживаемые сценарии развертывания

DKE поддерживает несколько различных конфигураций, включая облачные и локальные развертывания. Эти развертывания помогают гарантировать, что зашифрованные данные остаются непрозрачными, где бы вы ни хранили их.

Службу шифрования двух ключей, используемую для запроса ключа, можно разместить в выбранном месте (на локальном сервере управления ключами или в облаке). Служба поддерживается так же, как и любое другое приложение. Шифрование двойных ключей позволяет управлять доступом к службе шифрования двойных ключей. Вы можете хранить конфиденциальные данные в локальной среде или перемещать их в облако. Шифрование двойного ключа предоставляет элемент управления для хранения данных и ключа в одном географическом расположении.

Дополнительные сведения о корневых ключах по умолчанию облачных клиентов см. в статье Планирование и реализация ключа клиента Azure Information Protection.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Когда ваша организация должна внедрить DKE

DKE не для каждой организации и не для всех ваших данных. Предположим, что типичный ландшафт данных организации имеет следующую структуру:

  • Нечувствительные данные (около 80 % данных). Большая часть данных организации попадает в эту категорию. На сегодняшний день с перемещением этих данных в облако не возникает никаких проблем. Перемещение таких данных в облако может быть полезным, и организация может использовать встроенную в облако систему безопасности.

  • Конфиденциальные (около 15 % данных). Конфиденциальные данные должны быть защищены. Организация ожидает, что поставщик облачных служб обеспечит безопасность, повышая производительность для этой категории данных, чтобы они могли соответствовать нормативным требованиям. Вы хотите убедиться, что эти данные помечены правильно с помощью Microsoft Purview Information Protection и защищены с помощью политик управления доступом, хранения и аудита.

  • Высокая конфиденциальность (около 5 % данных). Этот набор является жемчужиной организации, и его необходимо тщательно охранять. Организация не хочет, чтобы у кого-то был доступ к таким данным. Эта категория данных также может иметь нормативные требования, чтобы ключи находились в том же географическом регионе, что и данные. Ключи также могут находиться под строгим контролем организации. Это содержимое имеет самую высокую классификацию в вашей организации ("Совершенно секретно"), и доступ ограничен несколькими людьми. Очень конфиденциальные данные — это то, за чем работают вредоносные пользователи. Потеря этих данных может нанести ущерб репутации организации и повредить доверие со своими клиентами.

Как уже упоминалось, шифрование с двойным ключом предназначено для наиболее конфиденциальных данных, на которые распространяются самые строгие требования к защите. Перед развертыванием необходимо выполнить должную осмотрительность при определении нужных данных для покрытия этого решения. В некоторых случаях может потребоваться сузить область и использовать другие решения. Например, для большинства данных рекомендуется использовать Microsoft Purview Information Protection с ключами, управляемыми Корпорацией Майкрософт, или использовать собственный ключ (BYOK). Этих решений достаточно для документов, на которые не распространяются расширенные меры защиты и нормативные требования. Кроме того, эти решения позволяют использовать самые мощные службы Microsoft 365. службы, которые нельзя использовать с зашифрованным содержимым DKE. Например:

  • Правила потока обработки почты, включая защиту от вредоносных программ и спама, которые требуют видимости вложения
  • Microsoft Delve
  • Обнаружение электронных данных
  • Поиск и индексирование содержимого
  • Office Web Apps, включая функции совместного редактирования
  • Copilot

Зашифрованные данные DKE недоступны для неактивных служб Microsoft 365, включая Copilot. Пока вы используете зашифрованные данные DKE в Office, они по-прежнему недоступны для Copilot, и вы не можете использовать Copilot в приложениях, пока используете зашифрованные данные DKE.

Внешние приложения или службы, которые не интегрированы с DKE с помощью пакета SDK Microsoft Information Protection, не могут выполнять действия с зашифрованными данными. Пакет SDK Microsoft Information Protection версии 1.7 и более поздних версий поддерживает шифрование с двойным ключом. Приложения, которые интегрируются с нашим пакетом SDK, могут использовать эти данные с достаточными разрешениями и интеграциями.

Если зашифрованные данные DKE используются в приложении Office, они могут быть доступны другим службам Microsoft 365 в зависимости от версии Office:

  • В последних версиях Office используемые зашифрованные данные DKE также недоступны для служб Microsoft 365. Так как это изменение было развернуто одновременно с отдельным элементом управления конфиденциальностью для меток конфиденциальности, который предотвращает отправку помеченного содержимого в подключенные интерфейсы для анализа, вы можете определить минимальные версии Office с помощью таблицы возможностей и строки Запретить подключенные интерфейсы, которые анализируют содержимое.

  • В предыдущих версиях Office используемые зашифрованные данные DKE доступны для служб Microsoft 365, если только вы не используете параметр политики для отключения подключенных интерфейсов для анализа содержимого. Дополнительные сведения см. статье Использование параметров политики для управления средствами управления конфиденциальностью в Microsoft Office 365 профессиональный плюс.

Используйте возможности Microsoft Purview Information Protection (классификация и маркировка), чтобы защитить большую часть конфиденциальных данных и использовать DKE только для критически важных данных. Шифрование с двойным ключом относится к конфиденциальным данным в строго регулируемых отраслях, таких как финансовые услуги и здравоохранение.

Если у вашей организации есть одно из следующих требований, вы можете использовать DKE для защиты содержимого:

  • У вас есть нормативные требования для хранения ключей в пределах географической границы.
  • Все ключи, которые хранятся для шифрования и расшифровки данных, хранятся в центре обработки данных.

Рабочий процесс шифрования DKE

В этом разделе рабочий процесс разбивается на отдельные шаги, чтобы проиллюстрировать использование двух ключей для защиты документа Office.

Шаг 1. Начальная загрузка

На схеме показан шаг 1 рабочего процесса шифрования для DKE, начальная загрузка.

Клиент Microsoft Office выполняет задачи настройки запуска и отправляет запросы и сведения в службу Azure Information Protection. Этот процесс также называется начальной загрузкой. Задачи включают авторизацию пользователя с помощью Microsoft Entra ID, скачивание сертификатов и шаблонов и т. д. Задачи начальной загрузки — это задачи первого подключения и запуска, которые предоставляют пользователю доступ к политикам шифрования Azure Rights Management.

Шаг 2. Сбор и кэширование открытого ключа Azure Rights Management

На схеме показан шаг 2 рабочего процесса шифрования для DKE, сбора и кэширования открытого ключа Azure.

Приложение Office извлекает открытый ключ из Azure Key Vault в службе защиты информации на основе авторизованного пользователя, использующий идентификатор Microsoft Entra. После сбора клиент кэширует ключ в течение 30 дней по умолчанию. После кэширования клиенту не нужно снова загружаться в службу Azure Rights Management до истечения срока действия ключа. Администратор может настроить другой период кэширования для Azure Rights Management. Необходимо задать период кэша для этого ключа или принять значение по умолчанию 30 дней. Без периода кэша автономная публикация не работает.

Шаг 3. Запрос открытого ключа DKE

На схеме показан шаг 3 рабочего процесса шифрования для DKE, запрос открытого ключа DKE.

Клиент Office запрашивает другой открытый ключ из службы шифрования двойных ключей на основе авторизованного пользователя с идентификатором Microsoft Entra.

Шаг 4. Сбор и кэширование ключа DKE

На схеме показан шаг 4 рабочего процесса шифрования для DKE, сбора и кэширования открытого ключа DKE.

Служба шифрования двойного ключа отправляет этот открытый ключ клиенту Office. Клиент кэширует ключ на устройстве до тех пор, пока вы настроили его. В отличие от ключа из Azure,

  • Вам не нужно настраивать период кэша для ключа, размещенного в службе шифрования двойных ключей.

  • Если вы хотите настроить период кэша, его можно настроить при развертывании службы шифрования двойного ключа или после развертывания.

Шаг 5. Защита документа с помощью ключа DKE

На схеме показан шаг 5 рабочего процесса шифрования для DKE, защита документа с помощью ключа DKE.

Клиент Microsoft Office шифрует часть метаданных , которая управляет доступом к содержимому с помощью открытого ключа, полученного из службы шифрования двойного ключа.

Шаг 6. Защита документа с помощью ключа Azure

На схеме показан шаг 6 рабочего процесса шифрования для DKE, защита документа с помощью ключа Azure.

Клиент Microsoft Office шифрует уже зашифрованную часть метаданных документа с помощью открытого ключа из Azure.

Теперь данные защищены с помощью обоих ключей.

Требования к системе и лицензированию для DKE

В этом разделе описаны требования к системе и конфигурации сервера и клиента, которые должны быть выполнены, прежде чем вы сможете успешно развернуть DKE в своей среде.

Требования к лицензированию для DKE

Шифрование с двойным ключом поставляется вместе с Microsoft 365 E5. Если у вас нет лицензии Microsoft 365 E5, вы можете зарегистрироваться для получения пробной версии. Дополнительные сведения об этих лицензиях см. в руководстве по лицензированию Microsoft 365 по обеспечению безопасности & соответствия требованиям.

Для DKE требуется служба Azure Rights Management.

DKE работает с метками конфиденциальности и требует шифрования с помощью управления правами из Microsoft Purview Information Protection.

Требования к маркировке DKE для приложений Office

Используйте метки конфиденциальности, встроенные в приложения Office, для поддержки DKE в Word, Excel, PowerPoint и Outlook. Поддерживаемые версии см. в таблицах возможностей и строке Шифрование двойного ключа (DKE).

DKE на клиентских компьютерах

Пользователи применяют метки конфиденциальности DKE через эти интерфейсы.

  • Метки конфиденциальности в приложениях Windows Office

  • Средство метки файлов Microsoft Purview Information Protection в проводнике Windows

  • Microsoft Purview Information Protection PowerShell

  • Сканер Microsoft Purview Information Protection

Установите необходимые компоненты на каждом клиентском компьютере, где требуется защитить и использовать защищенные документы.

Поддерживаемые среды для хранения и просмотра содержимого, защищенного DKE

Поддерживаемые приложения. Приложения Microsoft 365 для корпоративных клиентов в Windows, включая Word, Excel, PowerPoint и Outlook.

Поддержка содержимого в Интернете. Документы и файлы, защищенные с помощью шифрования двойного ключа, можно хранить в Интернете в SharePoint и OneDrive. Перед отправкой в эти расположения необходимо пометить и защитить документы и файлы с помощью DKE поддерживаемых приложений. Вы можете поделиться зашифрованным содержимым по электронной почте, но не можете просматривать зашифрованные документы и файлы в Интернете. Вместо этого необходимо просматривать защищенное содержимое с помощью поддерживаемых классических приложений и клиентов на локальном компьютере.

Сценарии маркировки за пределами приложений Office. Применяйте метки DKE за пределами приложений Office с помощью средства метки файлов Microsoft Purview Information Protection в параметров проводника правой кнопкой мыши, командлетов маркировки Microsoft Purview Information Protection PowerShell или сканера Microsoft Purview Information Protection.

Сценарии только шифрования и не пересылать. Только шифрование и Не пересылать не поддерживаются в DKE.