bekleyen Bulut için Defender Uygulamaları verilerini kendi anahtarınız ile şifreleme (KAG)
Bu makalede, Bulut için Defender Uygulamalarının, bekleyen veriler sırasında topladığı verileri şifrelemek için kendi anahtarınızı kullanacak şekilde nasıl yapılandırıldığı açıklanmaktadır. Bulut uygulamalarında depolanan verilere şifreleme uygulama hakkında belgeler arıyorsanız bkz . Microsoft Purview tümleştirmesi.
Bulut için Defender Uygulamaları güvenliğinizi ve gizliliğinizi ciddiye alır. Bu nedenle, Bulut için Defender Uygulamalar veri toplamaya başladığında, verilerinizi veri güvenliği ve gizlilik ilkemize uygun olarak korumak için kendi yönetilen anahtarlarını kullanır. Ayrıca Bulut için Defender Uygulamaları, bekleyen verilerinizi kendi Azure Key Vault anahtarınız ile şifreleyerek daha fazla korumanıza olanak tanır.
Önemli
Azure Key Vault anahtarınıza erişirken bir sorun oluşursa Bulut için Defender Uygulamalar verilerinizi şifreleyemeyecektir ve kiracınız bir saat içinde kilitlenecektir. Kiracınız kilitlendiğinde, neden çözümlenene kadar kiracıya tüm erişim engellenir. Anahtarınız yeniden erişilebilir hale getirildikten sonra kiracınıza tam erişim geri yüklenir.
Bu yordam yalnızca Microsoft Defender portalında kullanılabilir ve klasik Bulut için Microsoft Defender Uygulamaları portalında gerçekleştirilemez.
Önkoşullar
Bulut için Microsoft Defender Uygulamaları - BYOK uygulamasını kiracınızın Bulut için Defender Uygulamaları kiracınızla ilişkili Microsoft Entra Kimliği'ne kaydetmeniz gerekir.
Uygulamayı kaydetmek için
Microsoft Graph PowerShell'i yükleyin.
Bir PowerShell terminali açın ve aşağıdaki komutları çalıştırın:
Connect-MgGraph -Scopes "Application.ReadWrite.All" # Create a new service principal New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd # Update Service Principal $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id $params = @{ accountEnabled = $true } Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $paramsBurada ServicePrincipalId , önceki komut (
New-MgServicePrincipaltarafından döndürülen kimliktir).
Not
- Bulut için Defender Uygulamaları tüm yeni kiracılar için bekleyen verileri şifreler.
- Bulut için Defender Uygulamalarında 48 saatten fazla süreyle bulunan tüm veriler şifrelenir.
Azure Key Vault anahtarınızı dağıtma
Geçici silme ve Temizleme koruması seçeneklerinin etkinleştirildiği yeni bir Key Vault oluşturun.
Yeni oluşturulan Key Vault'ta Erişim ilkeleri bölmesini açın ve +Erişim İlkesi Ekle'yi seçin.
Anahtar izinleri'ni seçin ve açılan menüden aşağıdaki izinleri seçin:
Section Gerekli izinler Anahtar Yönetim İşlemleri -Liste Şifreleme İşlemleri - Sarmalama tuşu
- Anahtar açma
Sorumlu seç'in altında Uygulamalar - KAG veya Microsoft Bulut Uygulamaları Güvenliği - BYOK Bulut için Microsoft Defender seçin.
Kaydet'i seçin.
Yeni bir RSA anahtarı oluşturun ve aşağıdakileri yapın:
Not
Yalnızca RSA anahtarları desteklenir.
Anahtarı oluşturduktan sonra yeni oluşturulan anahtarı seçin, geçerli sürümü seçin ve ardından İzin verilen işlemler'i görürsünüz.
İzin verilen işlemler altında aşağıdaki seçeneklerin etkinleştirildiğinden emin olun:
- Anahtarı sarmala
- Anahtar sarmalamasını çöz
Anahtar Tanımlayıcısı URI'sini kopyalayın. Buna daha sonra ihtiyacınız olacak.
İsteğe bağlı olarak, seçili bir ağ için güvenlik duvarı kullanıyorsanız, Bulut için Defender Uygulamalar'a belirtilen anahtara erişim vermek için aşağıdaki güvenlik duvarı ayarlarını yapılandırın ve kaydet'e tıklayın:
- Hiçbir sanal ağın seçilmediğinden emin olun.
- Aşağıdaki IP adreslerini ekleyin:
- 13.66.200.132
- 23.100.71.251
- 40.78.82.214
- 51.105.4.145
- 52.166.166.111
- 13.72.32.204
- 52.244.79.38
- 52.227.8.45
- Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver'i seçin.
Bulut için Defender Uygulamalarında veri şifrelemeyi etkinleştirme
Veri şifrelemeyi etkinleştirdiğinizde, Bulut için Defender Uygulamalar bekleyen verileri şifrelemek için Azure Key Vault anahtarınızı hemen kullanır. Anahtarınız şifreleme işlemi için gerekli olduğundan, belirlenen Key Vault'unuzun ve anahtarınızın her zaman erişilebilir olduğundan emin olmak önemlidir.
Veri şifrelemeyi etkinleştirmek için
Microsoft Defender portalında Ayarlar Cloud Apps > Veri şifrelemesi Veri şifrelemesini >etkinleştir'i seçin.>
Azure Key Vault anahtar URI'si kutusuna, daha önce kopyaladığınız anahtar tanımlayıcısı URI değerini yapıştırın. Bulut için Defender Uygulamaları, URI tarafından belirtilen anahtar sürümü ne olursa olsun her zaman en son anahtar sürümünü kullanır.
URI doğrulaması tamamlandıktan sonra Etkinleştir'i seçin.
Not
Veri şifrelemeyi devre dışı bırakdığınızda, Bulut için Defender Uygulamalar bekleyen verilerden kendi anahtarınız ile şifrelemeyi kaldırır. Ancak, verileriniz Bulut için Defender Uygulamalar tarafından yönetilen anahtarlar tarafından şifrelenir.
Veri şifrelemesini devre dışı bırakmak için: Veri şifreleme sekmesine gidin ve Veri şifrelemesini devre dışı bırak'a tıklayın.
Anahtar rulosu işleme
Veri şifrelemesi için yapılandırılmış anahtarın yeni sürümlerini her oluşturduğunuzda, Bulut için Defender Uygulamalar otomatik olarak anahtarın en son sürümüne döner.
Veri şifreleme hatalarını işleme
Azure Key Vault anahtarınıza erişirken bir sorun oluşursa Bulut için Defender Uygulamalar verilerinizi şifreleyemeyecektir ve kiracınız bir saat içinde kilitlenir. Kiracınız kilitlendiğinde, neden çözümlenene kadar kiracıya tüm erişim engellenir. Anahtarınız yeniden erişilebilir hale getirildikten sonra kiracınıza tam erişim geri yüklenir. Veri şifreleme hatalarını işleme hakkında bilgi için bkz . Kendi anahtarınız ile veri şifreleme sorunlarını giderme.