Cifrar Defender for Cloud Apps datos en reposo con su propia clave (BYOK)
En este artículo se describe cómo configurar Defender for Cloud Apps usar su propia clave para cifrar los datos que recopila, mientras están en reposo. Si busca documentación sobre cómo aplicar el cifrado a los datos almacenados en aplicaciones en la nube, consulte Integración de Microsoft Purview.
Defender for Cloud Apps toma en serio su seguridad y privacidad. Por lo tanto, una vez que Defender for Cloud Apps comienza a recopilar datos, usa sus propias claves administradas para proteger sus datos de acuerdo con nuestra política de privacidad y seguridad de datos. Además, Defender for Cloud Apps permite proteger aún más los datos en reposo cifrándolo con su propia clave de Azure Key Vault.
Importante
Si hay un problema al acceder a la clave de Azure Key Vault, Defender for Cloud Apps no podrá cifrar los datos y el inquilino se bloqueará en una hora. Cuando el inquilino está bloqueado, se bloqueará todo el acceso a él hasta que se resuelva la causa. Una vez que se vuelva a acceder a la clave, se restaurará el acceso total al inquilino.
Este procedimiento solo está disponible en el portal de Microsoft Defender y no se puede realizar en el portal de Microsoft Defender for Cloud Apps clásico.
Requisitos previos
Debe registrar la aplicación Microsoft Defender for Cloud Apps - BYOK en el Microsoft Entra ID del inquilino asociado al inquilino de Defender for Cloud Apps.
Para registrar la aplicación
Instale PowerShell de Microsoft Graph.
Abra un terminal de PowerShell y ejecute los siguientes comandos:
Connect-MgGraph -Scopes "Application.ReadWrite.All" # Create a new service principal New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd # Update Service Principal $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id $params = @{ accountEnabled = $true } Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $paramsDonde ServicePrincipalId es el identificador devuelto por el comando anterior (
New-MgServicePrincipal).
Nota:
- Defender for Cloud Apps cifra los datos en reposo para todos los nuevos inquilinos.
- Los datos que residan en Defender for Cloud Apps durante más de 48 horas se cifrarán.
Implementación de la clave de Azure Key Vault
Cree un nuevo Key Vault con las opciones Eliminación temporal y Protección de purga habilitadas.
En la nueva Key Vault generada, abra el panel Directivas de acceso y seleccione +Agregar directiva de acceso.
Seleccione Permisos de clave y elija los siguientes permisos en el menú desplegable:
Sección Permisos necesarios Operaciones de administración de claves -Lista Operaciones criptográficas - Ajuste de la clave
- Tecla Desencapsular
En Seleccionar entidad de seguridad, elija Microsoft Defender for Cloud Apps - BYOK o Microsoft Cloud App Security - BYOK.
Haga clic en Guardar.
Cree una nueva clave RSA y haga lo siguiente:
Nota:
Solo se admiten claves RSA.
Después de crear la clave, seleccione la nueva clave generada, seleccione la versión actual y, a continuación, verá Operaciones permitidas.
En Operaciones permitidas, asegúrese de que están habilitadas las siguientes opciones:
- Encapsular clave
- Tecla Desencapsular
Copie el URI del identificador de clave . Lo necesitará más adelante.
Opcionalmente, si usa un firewall para una red seleccionada, configure los siguientes valores de firewall para proporcionar Defender for Cloud Apps acceso a la clave especificada y, a continuación, haga clic en Guardar:
- Asegúrese de que no hay ninguna red virtual seleccionada.
- Agregue las siguientes direcciones IP:
- 13.66.200.132
- 23.100.71.251
- 40.78.82.214
- 51.105.4.145
- 52.166.166.111
- 13.72.32.204
- 52.244.79.38
- 52.227.8.45
- Seleccione Permitir que los servicios de Microsoft de confianza omitan este firewall.
Habilitación del cifrado de datos en Defender for Cloud Apps
Al habilitar el cifrado de datos, Defender for Cloud Apps usa inmediatamente la clave de Azure Key Vault para cifrar los datos en reposo. Dado que la clave es esencial para el proceso de cifrado, es importante asegurarse de que los Key Vault y la clave designados sean accesibles en todo momento.
Para habilitar el cifrado de datos
En el portal de Microsoft Defender, seleccione Configuración Cloud > Apps > Cifrado de > datos Habilitar cifrado de datos.
En el cuadro URI de clave de Azure Key Vault, pegue el valor de URI del identificador de clave que copió anteriormente. Defender for Cloud Apps siempre usa la versión de clave más reciente, independientemente de la versión de clave especificada por el URI.
Una vez completada la validación del URI, seleccione Habilitar.
Nota:
Al deshabilitar el cifrado de datos, Defender for Cloud Apps quita el cifrado con su propia clave de los datos en reposo. Sin embargo, los datos permanecen cifrados por Defender for Cloud Apps claves administradas.
Para deshabilitar el cifrado de datos: Vaya a la pestaña Cifrado de datos y haga clic en Deshabilitar cifrado de datos.
Control de la rotación de claves
Cada vez que cree nuevas versiones de la clave configurada para el cifrado de datos, Defender for Cloud Apps se convierte automáticamente en la versión más reciente de la clave.
Cómo controlar errores de cifrado de datos
Si hay un problema al acceder a la clave de Azure Key Vault, Defender for Cloud Apps no podrá cifrar los datos y el inquilino se bloqueará en una hora. Cuando el inquilino está bloqueado, se bloqueará todo el acceso a él hasta que se resuelva la causa. Una vez que se vuelva a acceder a la clave, se restaurará el acceso total al inquilino. Para obtener información sobre cómo controlar errores de cifrado de datos, consulte Solución de problemas de cifrado de datos con su propia clave.