Defender for Cloud Apps data-at-rest versleutelen met uw eigen sleutel (BYOK)
In dit artikel wordt beschreven hoe u Defender for Cloud Apps configureert om uw eigen sleutel te gebruiken om de verzamelde gegevens te versleutelen, terwijl deze in rust zijn. Zie Microsoft Purview-integratie als u op zoek bent naar documentatie over het toepassen van versleuteling op gegevens die zijn opgeslagen in cloud-apps.
Defender for Cloud Apps neemt uw beveiliging en privacy serieus. Dus zodra Defender for Cloud Apps begint met het verzamelen van gegevens, gebruikt het zijn eigen beheerde sleutels om uw gegevens te beschermen in overeenstemming met ons gegevensbeveiligings- en privacybeleid. Daarnaast kunt u met Defender for Cloud Apps uw data-at-rest verder beveiligen door deze te versleutelen met uw eigen Azure Key Vault-sleutel.
Belangrijk
Als er een probleem is met het openen van uw Azure Key Vault-sleutel, kunt Defender for Cloud Apps uw gegevens niet versleutelen en wordt uw tenant binnen een uur vergrendeld. Wanneer uw tenant is vergrendeld, wordt alle toegang tot de tenant geblokkeerd totdat de oorzaak is opgelost. Zodra uw sleutel weer toegankelijk is, wordt de volledige toegang tot uw tenant hersteld.
Deze procedure is alleen beschikbaar in de Microsoft Defender portal en kan niet worden uitgevoerd op de klassieke Microsoft Defender for Cloud Apps-portal.
Vereisten
U moet de app Microsoft Defender for Cloud Apps - BYOK registreren in de Microsoft Entra ID van uw tenant die is gekoppeld aan uw Defender for Cloud Apps tenant.
De app registreren
Installeer Microsoft Graph PowerShell.
Open een PowerShell-terminal en voer de volgende opdrachten uit:
Connect-MgGraph -Scopes "Application.ReadWrite.All" # Create a new service principal New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd # Update Service Principal $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id $params = @{ accountEnabled = $true } Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $paramsWaarbij ServicePrincipalId de id is die wordt geretourneerd door de vorige opdracht (
New-MgServicePrincipal).
Opmerking
- Defender for Cloud Apps versleutelt data-at-rest voor alle nieuwe tenants.
- Alle gegevens die zich langer dan 48 uur in Defender for Cloud Apps bevinden, worden versleuteld.
Uw Azure Key Vault-sleutel implementeren
Maak een nieuwe Key Vault met de opties Voor voorlopig verwijderen en Opschonen ingeschakeld.
Open in de nieuwe gegenereerde Key Vault het deelvenster Toegangsbeleid en selecteer vervolgens +Toegangsbeleid toevoegen.
Selecteer Sleutelmachtigingen en kies de volgende machtigingen in de vervolgkeuzelijst:
Afdeling Vereiste machtigingen Bewerkingen voor sleutelbeheer -Lijst Cryptografische bewerkingen - Terugloopsleutel
- Sleutel uitpakken
Kies onder Principal selecterenMicrosoft Defender for Cloud Apps - BYOK of Microsoft Cloud App Security - BYOK.
Klik op Opslaan.
Maak een nieuwe RSA-sleutel en ga als volgt te werk:
Opmerking
Alleen RSA-sleutels worden ondersteund.
Nadat u de sleutel hebt gemaakt, selecteert u de nieuwe gegenereerde sleutel, selecteert u de huidige versie en ziet u Toegestane bewerkingen.
Controleer onder Toegestane bewerkingen of de volgende opties zijn ingeschakeld:
- Terugloopsleutel
- Sleutel uitpakken
Kopieer de sleutel-id-URI . Deze hebt u later nodig.
Als u een firewall gebruikt voor een geselecteerd netwerk, configureert u desgewenst de volgende firewallinstellingen om Defender for Cloud Apps toegang te geven tot de opgegeven sleutel en klikt u vervolgens op Opslaan:
- Zorg ervoor dat er geen virtuele netwerken zijn geselecteerd.
- Voeg de volgende IP-adressen toe:
- 13.66.200.132
- 23.100.71.251
- 40.78.82.214
- 51.105.4.145
- 52.166.166.111
- 13.72.32.204
- 52.244.79.38
- 52.227.8.45
- Selecteer Vertrouwde Microsoft-services toestaan deze firewall te omzeilen.
Gegevensversleuteling inschakelen in Defender for Cloud Apps
Wanneer u gegevensversleuteling inschakelt, gebruikt Defender for Cloud Apps onmiddellijk uw Azure Key Vault-sleutel om data-at-rest te versleutelen. Omdat uw sleutel essentieel is voor het versleutelingsproces, is het belangrijk om ervoor te zorgen dat uw aangewezen Key Vault en sleutel te allen tijde toegankelijk zijn.
Gegevensversleuteling inschakelen
Selecteer in de Microsoft Defender-portal Instellingen > Gegevensversleuteling cloud-apps > Gegevensversleuteling > inschakelen.
Plak in het vak Azure Key Vault sleutel-URI de URI-waarde van de sleutel-id die u eerder hebt gekopieerd. Defender for Cloud Apps gebruikt altijd de nieuwste sleutelversie, ongeacht de sleutelversie die is opgegeven door de URI.
Nadat de URI-validatie is voltooid, selecteert u Inschakelen.
Opmerking
Wanneer u gegevensversleuteling uitschakelt, verwijdert Defender for Cloud Apps de versleuteling met uw eigen sleutel uit de data-at-rest. Uw gegevens blijven echter versleuteld door Defender for Cloud Apps beheerde sleutels.
Gegevensversleuteling uitschakelen: Ga naar het tabblad Gegevensversleuteling en klik op Gegevensversleuteling uitschakelen.
Afhandeling van sleutelrollen
Wanneer u nieuwe versies maakt van de sleutel die is geconfigureerd voor gegevensversleuteling, wordt Defender for Cloud Apps automatisch naar de nieuwste versie van de sleutel gerolld.
Fouten bij gegevensversleuteling afhandelen
Als er een probleem is met het openen van uw Azure Key Vault-sleutel, kunt Defender for Cloud Apps uw gegevens niet versleutelen en wordt uw tenant binnen een uur vergrendeld. Wanneer uw tenant is vergrendeld, wordt alle toegang tot de tenant geblokkeerd totdat de oorzaak is opgelost. Zodra uw sleutel weer toegankelijk is, wordt de volledige toegang tot uw tenant hersteld. Zie Problemen met gegevensversleuteling met uw eigen sleutel oplossen voor informatie over het afhandelen van fouten bij gegevensversleuteling.