Chiffrer Defender for Cloud Apps données au repos avec votre propre clé (BYOK)
Cet article explique comment configurer Defender for Cloud Apps pour utiliser votre propre clé pour chiffrer les données collectées, pendant qu’elles sont au repos. Si vous recherchez de la documentation sur l’application du chiffrement aux données stockées dans des applications cloud, consultez Intégration de Microsoft Purview.
Defender for Cloud Apps prend au sérieux votre sécurité et votre confidentialité. Par conséquent, une fois que Defender for Cloud Apps commence à collecter des données, il utilise ses propres clés managées pour protéger vos données conformément à notre politique de sécurité et de confidentialité des données. En outre, Defender for Cloud Apps vous permet de protéger davantage vos données au repos en les chiffrant avec votre propre clé de Key Vault Azure.
Importante
En cas de problème d’accès à votre clé Key Vault Azure, Defender for Cloud Apps ne parvient pas à chiffrer vos données et votre locataire sera verrouillé dans l’heure. Lorsque votre locataire est verrouillé, tout accès à celui-ci est bloqué jusqu’à ce que la cause ait été résolue. Une fois que votre clé est à nouveau accessible, l’accès complet à votre locataire est restauré.
Cette procédure est disponible uniquement sur le portail Microsoft Defender et ne peut pas être effectuée sur le portail classic Microsoft Defender for Cloud Apps.
Configuration requise
Vous devez inscrire l’application Microsoft Defender for Cloud Apps - BYOK dans le Microsoft Entra ID de votre locataire associé à votre locataire Defender for Cloud Apps.
Pour inscrire l’application
Installez Microsoft Graph PowerShell.
Ouvrez un terminal PowerShell et exécutez les commandes suivantes :
Connect-MgGraph -Scopes "Application.ReadWrite.All" # Create a new service principal New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd # Update Service Principal $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id $params = @{ accountEnabled = $true } Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $paramsOù ServicePrincipalId est l’ID retourné par la commande précédente (
New-MgServicePrincipal).
Remarque
- Defender for Cloud Apps chiffre les données au repos pour tous les nouveaux locataires.
- Toutes les données qui résident dans Defender for Cloud Apps pendant plus de 48 heures sont chiffrées.
Déployer votre clé Key Vault Azure
Créez un Key Vault avec les options Suppression réversible et Protection contre le vidage activées.
Dans le nouveau Key Vault généré, ouvrez le volet Stratégies d’accès, puis sélectionnez +Ajouter une stratégie d’accès.
Sélectionnez Autorisations clés et choisissez les autorisations suivantes dans le menu déroulant :
Section Autorisations requises Opérations de gestion des clés -Liste Opérations de chiffrement - Clé d’habillage
- Unwrap key
Sous Sélectionner un principal, choisissez Microsoft Defender for Cloud Apps - BYOK ou Microsoft Sécurité des applications cloud - BYOK.
Sélectionnez Enregistrer.
Créez une clé RSA et procédez comme suit :
Remarque
Seules les clés RSA sont prises en charge.
Après avoir créé la clé, sélectionnez la nouvelle clé générée, sélectionnez la version actuelle, puis vous verrez opérations autorisées.
Sous Opérations autorisées, vérifiez que les options suivantes sont activées :
- Clé d’habillage
- Clé de désencapsulation
Copiez l’URI de l’identificateur de clé . Vous en aurez besoin plus tard.
Si vous utilisez un pare-feu pour un réseau sélectionné, configurez les paramètres de pare-feu suivants pour accorder Defender for Cloud Apps accès à la clé spécifiée, puis cliquez sur Enregistrer :
- Assurez-vous qu’aucun réseau virtuel n’est sélectionné.
- Ajoutez les adresses IP suivantes :
- 13.66.200.132
- 23.100.71.251
- 40.78.82.214
- 51.105.4.145
- 52.166.166.111
- 13.72.32.204
- 52.244.79.38
- 52.227.8.45
- Sélectionnez Autoriser les services Microsoft approuvés à contourner ce pare-feu.
Activer le chiffrement des données dans Defender for Cloud Apps
Lorsque vous activez le chiffrement des données, Defender for Cloud Apps utilise immédiatement votre clé de Key Vault Azure pour chiffrer les données au repos. Étant donné que votre clé est essentielle au processus de chiffrement, il est important de vous assurer que votre Key Vault et votre clé désignées sont accessibles à tout moment.
Pour activer le chiffrement des données
Dans le portail Microsoft Defender, sélectionnez Paramètres Chiffrement > des données > Cloud Apps > Activer le chiffrement des données.
Dans la zone URI de clé Azure Key Vault, collez la valeur URI de l’identificateur de clé que vous avez copiée précédemment. Defender for Cloud Apps utilise toujours la dernière version de clé, quelle que soit la version de clé spécifiée par l’URI.
Une fois la validation de l’URI terminée, sélectionnez Activer.
Remarque
Lorsque vous désactivez le chiffrement des données, Defender for Cloud Apps supprime le chiffrement avec votre propre clé des données au repos. Toutefois, vos données restent chiffrées par Defender for Cloud Apps clés managées.
Pour désactiver le chiffrement des données : Accédez à l’onglet Chiffrement des données , puis cliquez sur Désactiver le chiffrement des données.
Gestion des rolls de clés
Chaque fois que vous créez de nouvelles versions de la clé configurée pour le chiffrement des données, Defender for Cloud Apps effectue automatiquement la restauration vers la dernière version de la clé.
Comment gérer les échecs de chiffrement des données
En cas de problème lors de l’accès à votre clé Azure Key Vault, Defender for Cloud Apps ne parvient pas à chiffrer vos données et votre locataire est verrouillé dans l’heure. Lorsque votre locataire est verrouillé, tout accès à celui-ci est bloqué jusqu’à ce que la cause ait été résolue. Une fois que votre clé est à nouveau accessible, l’accès complet à votre locataire est restauré. Pour plus d’informations sur la gestion des échecs de chiffrement des données, consultez Résolution des problèmes de chiffrement des données avec votre propre clé.