Jaa

Salaa Defender for Cloud Apps lepäävät tiedot omalla avaimellasi (BYOK)

  • Artikkeli

Tässä artikkelissa kerrotaan, miten voit määrittää Defender for Cloud Apps käyttämään omaa avaintasi sen keräämien tietojen salaamiseen levossa. Jos etsit ohjeita salauksen soveltamisesta pilvisovelluksiin tallennettuihin tietoihin, katso Microsoft Purview -integrointi.

Defender for Cloud Apps ottaa suojauksen ja tietosuojan vakavasti. Kun Defender for Cloud Apps alkaa kerätä tietoja, se käyttää omia hallittuja avaimiaan tietojesi suojaamiseen tietoturva- ja tietosuojakäytäntömme mukaisesti. Lisäksi Defender for Cloud Apps avulla voit edelleen suojata levossa olevia tietoja salaamalla ne omalla Azure-Key Vault avaimellasi.

Tärkeää

Jos Azure Key Vault avaimen käytössä ilmenee ongelma, Defender for Cloud Apps tietojen salaaminen epäonnistuu ja vuokraajasi lukitaan tunnin kuluessa. Kun vuokraajasi on lukittu, kaikki sen käyttöoikeudet estetään, kunnes syy on ratkaistu. Kun avaimesi on jälleen käytettävissä, vuokraajasi täydet käyttöoikeudet palautetaan.

Nämä toimet ovat käytettävissä vain Microsoft Defender-portaalissa, eikä niitä voi suorittaa perinteisessä Microsoft Defender for Cloud Apps portaalissa.

Ennakkovaatimukset

Sinun on rekisteröitävä Microsoft Defender for Cloud Apps - BYOK -sovellus vuokraajasi Microsoft Entra ID, joka liittyy Defender for Cloud Apps vuokraajaan.

Sovelluksen rekisteröiminen

  1. Asenna Microsoft Graph PowerShell.

  2. Avaa PowerShell-pääte ja suorita seuraavat komennot:

    Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

    Jossa ServicePrincipalId on edellisen komennonNew-MgServicePrincipal () palauttama tunnus.

Huomautus

  • Defender for Cloud Apps salaa lepäävät tiedot kaikille uusille vuokraajille.
  • Kaikki tiedot, jotka ovat Defender for Cloud Apps yli 48 tuntia, salataan.

Azure Key Vault avaimen käyttöönotto

  1. Luo uusi Key Vault pehmeä poisto- ja puhdistusasetukset käytössä.

  2. Avaa uudessa luodussa Key Vault Käyttöoikeuskäytännöt-ruutu ja valitse sitten +Lisää käyttöoikeuskäytäntö.

    1. Valitse Avaimen käyttöoikeudet ja valitse seuraavat käyttöoikeudet avattavasta valikosta:

      Osa Vaaditut käyttöoikeudet
      Avainten hallintatoiminnot -Lista
      Salaustoiminnot - Rivitysavain
      - Avaa avain

      Näyttökuvassa näkyy avainten käyttöoikeuksien valinta.

    2. Valitse Valitse päänimi -kohdasta Microsoft Defender for Cloud Apps - BYOK tai Microsoft Cloud App Security - BYOK.

      Näyttökuva, jossa näkyy Lisää käyttöoikeuskäytäntö -sivu.

    3. Valitse Tallenna.

  3. Luo uusi RSA-avain ja toimi seuraavasti:

    Huomautus

    Vain RSA-avaimia tuetaan.

    1. Kun olet luonut avaimen, valitse uusi luotu avain, valitse nykyinen versio ja näet sitten Sallitut toiminnot.

    2. Varmista Sallitut toiminnot -kohdassa, että seuraavat asetukset ovat käytössä:

      • Rivitysavain
      • Avaa avain

    3. Kopioi avaimen TUNNUKSEN URI. Tarvitset sitä myöhemmin.

    Näyttökuva, jossa näkyy avainasetusten sivu.

  4. Vaihtoehtoisesti jos käytät valitun verkon palomuuria, määritä seuraavat palomuuriasetukset antamaan Defender for Cloud Apps käyttöoikeudet määritettyyn avaimeen, ja valitse sitten Tallenna:

    1. Varmista, että näennäisverkkoja ei ole valittu.
    2. Lisää seuraavat IP-osoitteet:
      • 13.66.200.132
      • 23.100.71.251
      • 40.78.82.214
      • 51.105.4.145
      • 52.166.166.111
      • 13.72.32.204
      • 52.244.79.38
      • 52.227.8.45
    3. Valitse Salli luotettujen Microsoft-palveluiden ohittaa tämä palomuuri.

    Näyttökuva, jossa näkyy palomuurin määritys.

Ota tietojen salaus käyttöön Defender for Cloud Apps

Kun otat tietojen salauksen käyttöön, Defender for Cloud Apps käyttää välittömästi Azure Key Vault -avainta lepäävän tiedon salaamiseen. Koska avaimesi on tärkeä salausprosessissa, on tärkeää varmistaa, että määrittämäsi Key Vault ja avaimesi ovat käytettävissä aina.

Tietojen salauksen ottaminen käyttöön

  1. Valitse Microsoft Defender portaalissa Asetukset > Pilvisovellukset > Tietojen salaus > Ota tietojen salaus käyttöön.

  2. Liitä Azure Key Vault avaimen URI-ruutuun aiemmin kopioimasi avaintunnisteen URI-arvo. Defender for Cloud Apps käyttää aina uusinta avainversiota riippumatta URI:n määrittämästä avainversiosta.

  3. Kun URI-vahvistus on valmis, valitse Ota käyttöön.

Huomautus

Kun poistat tietojen salauksen käytöstä, Defender for Cloud Apps poistaa salauksen omalla avaimellasi lepäävät tiedot. Tiedot pysyvät kuitenkin salattuina Defender for Cloud Apps hallituilla avaimilla.

Tietojen salauksen poistaminen käytöstä: Siirry Tietojen salaus -välilehteen ja valitse Poista tietojen salaus käytöstä.

Avainten rullan käsittely

Aina kun luot tietojen salaukseen määritetystä avaimesta uusia versioita, Defender for Cloud Apps siirtyy automaattisesti avaimen uusimpaan versioon.

Tietojen salausvirheiden käsitteleminen

Jos Azure-Key Vault avaimen käytössä on ongelma, Defender for Cloud Apps tietojen salaaminen epäonnistuu ja vuokraajasi lukitaan tunnin kuluessa. Kun vuokraajasi on lukittu, kaikki sen käyttöoikeudet estetään, kunnes syy on ratkaistu. Kun avaimesi on jälleen käytettävissä, vuokraajasi täydet käyttöoikeudet palautetaan. Lisätietoja tietojen salausvirheiden käsittelystä on kohdassa Tietojen salauksen vianmääritys omalla avaimellasi.