Verschlüsseln Defender for Cloud Apps ruhender Daten mit Ihrem eigenen Schlüssel (BYOK)
In diesem Artikel wird beschrieben, wie Sie Defender for Cloud Apps konfigurieren, um ihren eigenen Schlüssel zum Verschlüsseln der gesammelten Daten zu verwenden, während sie sich im Ruhezustand befindet. Wenn Sie eine Dokumentation zum Anwenden der Verschlüsselung auf Daten suchen, die in Cloud-Apps gespeichert sind, finden Sie weitere Informationen unter Microsoft Purview-Integration.
Defender for Cloud Apps nimmt Ihre Sicherheit und Ihren Datenschutz ernst. Daher verwendet Defender for Cloud Apps, sobald Defender for Cloud Apps mit der Erfassung von Daten beginnt, seine eigenen verwalteten Schlüssel, um Ihre Daten in Übereinstimmung mit unserer Datensicherheits- und Datenschutzrichtlinie zu schützen. Darüber hinaus können Sie mit Defender for Cloud Apps Ihre ruhenden Daten weiter schützen, indem Sie sie mit Ihrem eigenen Azure Key Vault-Schlüssel verschlüsseln.
Wichtig
Wenn beim Zugriff auf Ihren Azure Key Vault-Schlüssel ein Problem auftritt, kann Defender for Cloud Apps Ihre Daten nicht verschlüsseln, und Ihr Mandant wird innerhalb einer Stunde gesperrt. Wenn Ihr Mandant gesperrt ist, wird der gesamte Zugriff darauf blockiert, bis die Ursache behoben wurde. Sobald der Zugriff auf Ihren Schlüssel wieder möglich ist, wird der Vollzugriff auf Ihren Mandanten wiederhergestellt.
Dieses Verfahren ist nur im Microsoft Defender-Portal verfügbar und kann nicht im klassischen Microsoft Defender for Cloud Apps-Portal ausgeführt werden.
Voraussetzungen
Sie müssen die Microsoft Defender for Cloud Apps - BYOK-App in der Microsoft Entra ID Ihres Mandanten registrieren, die Ihrem Defender for Cloud Apps Mandanten zugeordnet ist.
So registrieren Sie die App
Installieren Sie Microsoft Graph PowerShell.
Öffnen Sie ein PowerShell-Terminal, und führen Sie die folgenden Befehle aus:
Connect-MgGraph -Scopes "Application.ReadWrite.All" # Create a new service principal New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd # Update Service Principal $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id $params = @{ accountEnabled = $true } Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $paramsDabei ist ServicePrincipalId die ID, die vom vorherigen Befehl (
New-MgServicePrincipal) zurückgegeben wurde.
Hinweis
- Defender for Cloud Apps verschlüsselt ruhende Daten für alle neuen Mandanten.
- Alle Daten, die sich länger als 48 Stunden in Defender for Cloud Apps befinden, werden verschlüsselt.
Bereitstellen Ihres Azure Key Vault-Schlüssels
Erstellen Sie eine neue Key Vault mit aktivierten Optionen für vorläufiges Löschen und Löschschutz.
Öffnen Sie im neuen generierten Key Vault den Bereich Zugriffsrichtlinien, und wählen Sie dann + Zugriffsrichtlinie hinzufügen aus.
Wählen Sie Schlüsselberechtigungen aus, und wählen Sie im Dropdownmenü die folgenden Berechtigungen aus:
Abschnitt Erforderliche Berechtigungen Schlüsselverwaltungsvorgänge -Liste Kryptografische Vorgänge - Schlüssel umschließen
– Entpackungsschlüssel
Wählen Sie unter Prinzipal auswählendie Option Microsoft Defender for Cloud Apps – BYOK oder Microsoft Cloud App Security – BYOK aus.
Klicken Sie auf Speichern.
Erstellen Sie einen neuen RSA-Schlüssel , und gehen Sie wie folgt vor:
Hinweis
Es werden nur RSA-Schlüssel unterstützt.
Wählen Sie nach dem Erstellen des Schlüssels den neuen generierten Schlüssel aus, wählen Sie die aktuelle Version aus, und dann werden zulässige Vorgänge angezeigt.
Stellen Sie sicher, dass unter Zulässige Vorgänge die folgenden Optionen aktiviert sind:
- Schlüssel umschließen
- Entpackungsschlüssel
Kopieren Sie den Schlüsselbezeichner-URI . Sie benötigen ihn später noch.
Wenn Sie optional eine Firewall für ein ausgewähltes Netzwerk verwenden, konfigurieren Sie die folgenden Firewalleinstellungen, um Defender for Cloud Apps Zugriff auf den angegebenen Schlüssel zu gewähren, und klicken Sie dann auf Speichern:
- Stellen Sie sicher, dass keine virtuellen Netzwerke ausgewählt sind.
- Fügen Sie die folgenden IP-Adressen hinzu:
- 13.66.200.132
- 23.100.71.251
- 40.78.82.214
- 51.105.4.145
- 52.166.166.111
- 13.72.32.204
- 52.244.79.38
- 52.227.8.45
- Wählen Sie Zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewall umgehen aus.
Aktivieren der Datenverschlüsselung in Defender for Cloud Apps
Wenn Sie die Datenverschlüsselung aktivieren, verwendet Defender for Cloud Apps sofort Ihren Azure Key Vault-Schlüssel, um ruhende Daten zu verschlüsseln. Da Ihr Schlüssel für den Verschlüsselungsprozess unerlässlich ist, ist es wichtig, sicherzustellen, dass Ihre angegebenen Key Vault und Schlüssel jederzeit zugänglich sind.
So aktivieren Sie die Datenverschlüsselung
Wählen Sie im Microsoft Defender-Portal Einstellungen > Cloud-Apps > Datenverschlüsselung > Datenverschlüsselung aktivieren aus.
Fügen Sie in das Feld Azure Key Vault-Schlüssel-URI den Zuvor kopierten Wert des Schlüsselbezeichners ein. Defender for Cloud Apps verwendet immer die neueste Schlüsselversion, unabhängig von der durch den URI angegebenen Schlüsselversion.
Nachdem die URI-Überprüfung abgeschlossen ist, wählen Sie Aktivieren aus.
Hinweis
Wenn Sie die Datenverschlüsselung deaktivieren, entfernt Defender for Cloud Apps die Verschlüsselung mit Ihrem eigenen Schlüssel aus den ruhenden Daten. Ihre Daten bleiben jedoch mit Defender for Cloud Apps verwalteten Schlüsseln verschlüsselt.
So deaktivieren Sie die Datenverschlüsselung: Wechseln Sie zur Registerkarte Datenverschlüsselung , und klicken Sie auf Datenverschlüsselung deaktivieren.
Behandlung von Schlüsselrollen
Wenn Sie neue Versionen des für die Datenverschlüsselung konfigurierten Schlüssels erstellen, wird Defender for Cloud Apps automatisch auf die neueste Version des Schlüssels zurückgesetzt.
Behandeln von Datenverschlüsselungsfehlern
Wenn beim Zugriff auf Ihren Azure Key Vault-Schlüssel ein Problem auftritt, kann Defender for Cloud Apps Ihre Daten nicht verschlüsseln, und Ihr Mandant wird innerhalb einer Stunde gesperrt. Wenn Ihr Mandant gesperrt ist, wird der gesamte Zugriff darauf blockiert, bis die Ursache behoben wurde. Sobald der Zugriff auf Ihren Schlüssel wieder möglich ist, wird der Vollzugriff auf Ihren Mandanten wiederhergestellt. Informationen zum Behandeln von Datenverschlüsselungsfehlern finden Sie unter Problembehandlung bei der Datenverschlüsselung mit Ihrem eigenen Schlüssel.