Dela via

Kryptera Defender för Cloud Apps-data i vila med din egen nyckel (BYOK)

  • Artikel

Den här artikeln beskriver hur du konfigurerar Defender for Cloud Apps att använda din egen nyckel för att kryptera de data som samlas in, medan de är i vila. Information om hur du tillämpar kryptering på data som lagras i molnappar finns i Microsoft Purview-integrering.

Defender för Cloud Apps tar din säkerhet och sekretess på allvar. När Defender för Cloud Apps börjar samla in data använder den därför sina egna hanterade nycklar för att skydda dina data i enlighet med vår datasäkerhets- och sekretesspolicy . Med Defender för Cloud Apps kan du dessutom skydda dina vilande data ytterligare genom att kryptera dem med din egen Azure Key Vault-nyckel.

Viktigt!

Om det uppstår problem med att komma åt din Azure Key Vault-nyckel kommer Defender for Cloud Apps inte att kunna kryptera dina data och din klientorganisation kommer att låsas inom en timme. När klientorganisationen är låst blockeras all åtkomst till den tills orsaken har lösts. När nyckeln är tillgänglig igen återställs fullständig åtkomst till din klientorganisation.

Den här proceduren är endast tillgänglig på Microsoft Defender-portalen och kan inte utföras på den klassiska Microsoft Defender för Cloud Apps-portalen.

Förutsättningar

Du måste registrera Appen Microsoft Defender för molnappar – BYOK i klientorganisationens Microsoft Entra-ID som är associerat med din Defender för Cloud Apps-klientorganisation.

Registrera appen

  1. Installera Microsoft Graph PowerShell.

  2. Öppna en PowerShell-terminal och kör följande kommandon:

    Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

    Där ServicePrincipalId är det ID som returnerades av föregående kommando (New-MgServicePrincipal).

Kommentar

  • Defender för Cloud Apps krypterar vilande data för alla nya klienter.
  • Alla data som finns i Defender för Cloud Apps i mer än 48 timmar krypteras.

Distribuera din Azure Key Vault-nyckel

  1. Skapa ett nytt Nyckelvalv med alternativen Mjuk borttagning och rensningsskydd aktiverat.

  2. I det nya genererade Nyckelvalvet öppnar du fönstret Åtkomstprinciper och väljer sedan +Lägg till åtkomstprincip.

    1. Välj Nyckelbehörigheter och välj följande behörigheter på den nedrullningsbara menyn:

      Avsnitt Behörigheter som krävs
      Nyckelhanteringsåtgärder -Lista
      Kryptografiåtgärder - Radbryt nyckel
      - Packa upp nyckel

      Skärmbild som visar valet av nyckelbehörigheter.

    2. Under Välj huvudnamn väljer du Microsoft Defender för Molnappar – BYOK eller Microsoft Bezbednost aplikacija u oblaku – BYOK.

      Skärmbild som visar sidan Lägg till åtkomstprincip.

    3. Välj Spara.

  3. Skapa en ny RSA-nyckel och gör följande:

    Kommentar

    Endast RSA-nycklar stöds.

    1. När du har skapat nyckeln väljer du den nya genererade nyckeln, väljer den aktuella versionen och sedan visas Tillåtna åtgärder.

    2. Under Tillåtna åtgärder kontrollerar du att följande alternativ är aktiverade:

      • Packa nyckeln
      • Packa upp nyckeln

    3. Kopiera nyckelidentifierarens URI. Du behöver det senare.

    Skärmbild som visar sidan för nyckelinställningar.

  4. Om du vill kan du om du använder en brandvägg för ett valt nätverk konfigurera följande brandväggsinställningar för att ge Defender for Cloud Apps åtkomst till den angivna nyckeln och klicka sedan på Spara:

    1. Kontrollera att inga virtuella nätverk har valts.
    2. Lägg till följande IP-adresser:
      • 13.66.200.132
      • 23.100.71.251
      • 40.78.82.214
      • 51.105.4.145
      • 52.166.166.111
      • 13.72.32.204
      • 52.244.79.38
      • 52.227.8.45
    3. Välj Tillåt betrodda Microsoft usluge för att kringgå den här brandväggen.

    Skärmbild som visar brandväggskonfiguration.

Aktivera datakryptering i Defender för Cloud Apps

När du aktiverar datakryptering använder Defender for Cloud Apps omedelbart din Azure Key Vault-nyckel för att kryptera vilande data. Eftersom din nyckel är viktig för krypteringsprocessen är det viktigt att se till att ditt avsedda Nyckelvalv och nyckel alltid är tillgängliga.

Aktivera datakryptering

  1. I Microsoft Defender-portalen väljer du Inställningar Cloud Apps > Datakryptering > Aktivera datakryptering>.

  2. I rutan Azure Key Vault-nyckel-URI klistrar du in nyckelidentifierarens URI-värde som du kopierade tidigare. Defender för Cloud Apps använder alltid den senaste nyckelversionen, oavsett vilken nyckelversion som anges av URI:n.

  3. När URI-valideringen har slutförts väljer du Aktivera.

Kommentar

När du inaktiverar datakryptering tar Defender för Cloud Apps bort krypteringen med din egen nyckel från vilande data. Dina data förblir dock krypterade av hanterade nycklar i Defender för Cloud Apps.

Inaktivera datakryptering: Gå till fliken Datakryptering och klicka på Inaktivera datakryptering.

Hantering av nyckelrulle

När du skapar nya versioner av nyckeln som konfigurerats för datakryptering, återställs Defender för Cloud Apps automatiskt till den senaste versionen av nyckeln.

Hantera datakrypteringsfel

Om det uppstår problem med att komma åt din Azure Key Vault-nyckel kommer Defender for Cloud Apps inte att kunna kryptera dina data och klientorganisationen kommer att låsas inom en timme. När klientorganisationen är låst blockeras all åtkomst till den tills orsaken har lösts. När nyckeln är tillgänglig igen återställs fullständig åtkomst till din klientorganisation. Information om hur du hanterar datakrypteringsfel finns i Felsöka datakryptering med din egen nyckel.