Udostępnij za pośrednictwem


Zarządzane przez klienta: Operacje cyklu życia klucza dzierżawy

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Klient usługi Microsoft Purview Information Protection (bez dodatku) jest ogólnie dostępny.

Jeśli zarządzasz kluczem dzierżawy dla usługi Azure Information Protection (scenariusz bring your own key lub BYOK), skorzystaj z poniższych sekcji, aby uzyskać więcej informacji na temat operacji cyklu życia, które są istotne dla tej topologii.

Odwoływanie klucza dzierżawy

Istnieje bardzo niewiele scenariuszy, w których może być konieczne odwołanie klucza zamiast ponownego tworzenia klucza. Po odwołaniu klucza cała zawartość chroniona przez dzierżawę przy użyciu tego klucza stanie się niedostępna dla wszystkich (w tym firmy Microsoft, administratorów globalnych i superużywców), chyba że masz kopię zapasową klucza, który można przywrócić. Po odwołaniu klucza nie będzie można chronić nowej zawartości do momentu utworzenia i skonfigurowania nowego klucza dzierżawy dla usługi Azure Information Protection.

Aby odwołać klucz dzierżawy zarządzany przez klienta, w usłudze Azure Key Vault zmień uprawnienia magazynu kluczy zawierającego klucz dzierżawy usługi Azure Information Protection, aby usługa Azure Rights Management nie mogła uzyskać dostępu do klucza. Ta akcja skutecznie odwołuje klucz dzierżawy dla usługi Azure Information Protection.

Po anulowaniu subskrypcji usługi Azure Information Protection usługa Azure Information Protection przestanie używać klucza dzierżawy i nie jest wymagana żadna akcja.

Ponowne dołączanie klucza dzierżawy

Ponownekeying jest również znany jako stopniowe wprowadzanie klucza. Po zakończeniu tej operacji usługa Azure Information Protection przestaje używać istniejącego klucza dzierżawy do ochrony dokumentów i wiadomości e-mail i rozpoczyna korzystanie z innego klucza. Zasady i szablony są natychmiast zrezygnowane, ale to przejście jest stopniowe dla istniejących klientów i usług przy użyciu usługi Azure Information Protection. Dlatego przez jakiś czas część nowej zawartości nadal jest chroniona przy użyciu starego klucza dzierżawy.

Aby ponownie użyć klucza dzierżawy, należy skonfigurować obiekt klucza dzierżawy i określić alternatywny klucz do użycia. Następnie wcześniej używany klucz jest automatycznie oznaczony jako zarchiwizowany dla usługi Azure Information Protection. Ta konfiguracja zapewnia dostępność zawartości chronionej przy użyciu tego klucza.

Przykłady konieczności ponownego użycia klucza dla usługi Azure Information Protection:

  • Twoja firma podzieliła się na co najmniej dwie firmy. Po ponownym utworzeniu klucza dzierżawy nowa firma nie będzie miała dostępu do nowej zawartości publikowanej przez pracowników. Mogą oni uzyskać dostęp do starej zawartości, jeśli mają kopię starego klucza dzierżawy.

  • Chcesz przejść z jednej topologii zarządzania kluczami do innej.

  • Uważasz, że kopia główna klucza dzierżawy (kopia w posiadaniu) została naruszona.

Aby ponownie utworzyć klucz do innego zarządzanego klucza, możesz utworzyć nowy klucz w usłudze Azure Key Vault lub użyć innego klucza, który znajduje się już w usłudze Azure Key Vault. Następnie postępuj zgodnie z tymi samymi procedurami, które wykonaliśmy w celu zaimplementowania rozwiązania BYOK dla usługi Azure Information Protection.

  1. Tylko wtedy, gdy nowy klucz znajduje się w innym magazynie kluczy do tego, którego już używasz w usłudze Azure Information Protection: Autoryzuj usługę Azure Information Protection do korzystania z magazynu kluczy przy użyciu polecenia cmdlet Set-AzKeyVaultAccessPolicy .

  2. Jeśli usługa Azure Information Protection nie zna jeszcze klucza, którego chcesz użyć, uruchom polecenie cmdlet Use-AipServiceKeyVaultKey .

  3. Skonfiguruj obiekt klucza dzierżawy przy użyciu polecenia cmdlet Set-AipServiceKeyProperties .

Aby uzyskać więcej informacji na temat każdego z tych kroków:

  • Aby ponownie uruchomić klucz do innego zarządzanego klucza, zobacz Planowanie i wdrażanie klucza dzierżawy usługi Azure Information Protection.

    W przypadku ponownego tworzenia klucza chronionego przez moduł HSM i transferu do usługi Key Vault można użyć tego samego środowiska zabezpieczeń i kart dostępu, które były używane dla bieżącego klucza.

  • Aby zmienić klucz, przejdź do klucza zarządzanego przez firmę Microsoft, zobacz sekcję Zmiana klucza dzierżawy na operacje zarządzane przez firmę Microsoft.

Tworzenie kopii zapasowej i odzyskiwanie klucza dzierżawy

Ponieważ zarządzasz kluczem dzierżawy, odpowiadasz za tworzenie kopii zapasowej klucza używanego przez usługę Azure Information Protection.

Jeśli klucz dzierżawy został wygenerowany lokalnie, w module HSM nCipher: aby utworzyć kopię zapasową klucza, utwórz kopię zapasową tokenizowanego pliku klucza, pliku światowego i kart administratora. Podczas transferu klucza do usługi Azure Key Vault usługa zapisuje tokenizowany plik klucza w celu ochrony przed awarią wszystkich węzłów usługi. Ten plik jest powiązany ze światem zabezpieczeń dla określonego regionu lub wystąpienia platformy Azure. Nie należy jednak traktować tego tokenizowanego pliku klucza jako pełnej kopii zapasowej. Na przykład jeśli kiedykolwiek potrzebujesz kopii klucza w postaci zwykłego tekstu do użycia poza modułem HSM nCipher, usługa Azure Key Vault nie może pobrać go za Ciebie, ponieważ ma tylko niemożliwą do odzyskania kopię.

Usługa Azure Key Vault ma polecenie cmdlet kopii zapasowej, którego można użyć do utworzenia kopii zapasowej klucza, pobierając go i przechowując w pliku. Ponieważ pobrana zawartość jest zaszyfrowana, nie można jej używać poza usługą Azure Key Vault.

Eksportowanie klucza dzierżawy

Jeśli używasz rozwiązania BYOK, nie możesz wyeksportować klucza dzierżawy z usługi Azure Key Vault lub usługi Azure Information Protection. Kopiowanie w usłudze Azure Key Vault nie jest możliwe do odzyskania.

Reagowanie na naruszenie

Żaden system zabezpieczeń, bez względu na to, jak silny, jest kompletny bez procesu reagowania na naruszenia zabezpieczeń. Klucz dzierżawy może zostać naruszony lub skradziony. Nawet jeśli są dobrze chronione, luki w zabezpieczeniach mogą znajdować się w bieżącej technologii klucza generacji lub w bieżących długościach kluczy i algorytmach.

Firma Microsoft ma dedykowany zespół do reagowania na zdarzenia zabezpieczeń w swoich produktach i usługach. Jak tylko istnieje wiarygodny raport o zdarzeniu, ten zespół angażuje się w badanie zakresu, głównej przyczyny i środków zaradczych. Jeśli to zdarzenie ma wpływ na Twoje zasoby, firma Microsoft powiadamia administratorów globalnych dzierżawy pocztą e-mail.

Jeśli masz naruszenie, najlepsze działanie, które ty lub firma Microsoft może podjąć, zależy od zakresu naruszenia; Firma Microsoft będzie współpracować z Tobą w ramach tego procesu. W poniższej tabeli przedstawiono niektóre typowe sytuacje i prawdopodobną reakcję, chociaż dokładna odpowiedź zależy od wszystkich informacji, które zostały ujawnione podczas badania.

Opis zdarzenia Prawdopodobna odpowiedź
Klucz dzierżawy został ujawniony. Zmień klucz dzierżawy. Zobacz Ponowne dołączanie klucza dzierżawy.
Nieautoryzowane osoby lub złośliwe oprogramowanie uzyskało prawa do używania klucza dzierżawy, ale sam klucz nie wyciekł. Ponowne dołączanie klucza dzierżawy nie pomaga w tym miejscu i wymaga analizy głównej przyczyny. Jeśli proces lub usterka oprogramowania była odpowiedzialna za nieautoryzowaną osobę w celu uzyskania dostępu, należy rozwiązać ten problem.
Luka w zabezpieczeniach wykryta w technologii HSM bieżącej generacji. Firma Microsoft musi zaktualizować moduły HSM. Jeśli istnieje powód, aby sądzić, że ujawnione klucze luki w zabezpieczeniach, firma Microsoft poinstruuje wszystkich klientów o ponownym kluczu kluczy dzierżawy.
Luka w zabezpieczeniach wykryta w algorytmie RSA lub długości klucza albo ataki siłowe stają się możliwe do obliczenia. Firma Microsoft musi zaktualizować usługę Azure Key Vault lub Usługę Azure Information Protection, aby obsługiwała nowe algorytmy i dłuższe długości kluczy, które są odporne, i poinstruować wszystkich klientów o ponownym kluczu dzierżawy.