Szyfrowanie danych Defender for Cloud Apps magazynowanych przy użyciu własnego klucza (BYOK)
W tym artykule opisano sposób konfigurowania Defender for Cloud Apps do korzystania z własnego klucza w celu szyfrowania zbieranych danych, podczas gdy są przechowywane. Jeśli szukasz dokumentacji dotyczącej stosowania szyfrowania do danych przechowywanych w aplikacjach w chmurze, zobacz Integracja z usługą Microsoft Purview.
Defender for Cloud Apps poważnie traktuje Twoje bezpieczeństwo i prywatność. W związku z tym, gdy Defender for Cloud Apps rozpocznie zbieranie danych, używa własnych kluczy zarządzanych do ochrony danych zgodnie z naszymi zasadami bezpieczeństwa danych i prywatności. Ponadto Defender for Cloud Apps umożliwia dalszą ochronę danych magazynowanych przez szyfrowanie ich przy użyciu własnego klucza usługi Azure Key Vault.
Ważna
Jeśli wystąpi problem z uzyskaniem dostępu do klucza usługi Azure Key Vault, Defender for Cloud Apps nie będzie szyfrować danych, a dzierżawa zostanie zablokowana w ciągu godziny. Gdy dzierżawa jest zablokowana, cały dostęp do niej będzie zablokowany do czasu rozwiązania przyczyny. Po ponownym udostępnieniu klucza zostanie przywrócony pełny dostęp do dzierżawy.
Ta procedura jest dostępna tylko w portalu Microsoft Defender i nie może być wykonywana w klasycznym portalu Microsoft Defender for Cloud Apps.
Wymagania wstępne
Musisz zarejestrować aplikację Microsoft Defender for Cloud Apps — BYOK w Tożsamość Microsoft Entra dzierżawy skojarzonej z dzierżawą Defender for Cloud Apps.
Aby zarejestrować aplikację
Zainstaluj program Microsoft Graph PowerShell.
Otwórz terminal programu PowerShell i uruchom następujące polecenia:
Connect-MgGraph -Scopes "Application.ReadWrite.All" # Create a new service principal New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd # Update Service Principal $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id $params = @{ accountEnabled = $true } Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $paramsGdzie ServicePrincipalId to identyfikator zwrócony przez poprzednie polecenie (
New-MgServicePrincipal).
Uwaga
- Defender for Cloud Apps szyfruje dane magazynowane dla wszystkich nowych dzierżaw.
- Wszystkie dane znajdujące się w Defender for Cloud Apps przez ponad 48 godzin zostaną zaszyfrowane.
Wdrażanie klucza usługi Azure Key Vault
Utwórz nową Key Vault z włączonymi opcjami usuwania nietrwałego i ochrony przed przeczyszczaniem.
W nowym wygenerowanym Key Vault otwórz okienko Zasady dostępu, a następnie wybierz pozycję +Dodaj zasady dostępu.
Wybierz pozycję Uprawnienia klucza i wybierz następujące uprawnienia z menu rozwijanego:
Sekcja Wymagane uprawnienia Operacje zarządzania kluczami -Lista Operacje kryptograficzne - Zawijanie klucza
- Odpakuj klucz
W obszarze Wybierz jednostkę wybierz pozycję Microsoft Defender for Cloud Apps — BYOK lub Microsoft Cloud App Security — BYOK.
Wybierz Zapisz.
Utwórz nowy klucz RSA i wykonaj następujące czynności:
Uwaga
Obsługiwane są tylko klucze RSA.
Po utworzeniu klucza wybierz nowy wygenerowany klucz, wybierz bieżącą wersję, a następnie zobaczysz pozycję Dozwolone operacje.
W obszarze Dozwolone operacje upewnij się, że są włączone następujące opcje:
- Zawijanie klucza
- Odpakuj klucz
Skopiuj identyfikator URI identyfikatora klucza . Będzie potrzebna później.
Opcjonalnie, jeśli używasz zapory dla wybranej sieci, skonfiguruj następujące ustawienia zapory, aby nadać Defender for Cloud Apps dostęp do określonego klucza, a następnie kliknij przycisk Zapisz:
- Upewnij się, że nie wybrano żadnych sieci wirtualnych.
- Dodaj następujące adresy IP:
- 13.66.200.132
- 23.100.71.251
- 40.78.82.214
- 51.105.4.145
- 52.166.166.111
- 13.72.32.204
- 52.244.79.38
- 52.227.8.45
- Wybierz pozycję Zezwalaj zaufanym usługom firmy Microsoft na pomijanie tej zapory.
Włączanie szyfrowania danych w Defender for Cloud Apps
Po włączeniu szyfrowania danych Defender for Cloud Apps natychmiast używa klucza usługi Azure Key Vault do szyfrowania danych magazynowanych. Ponieważ klucz jest niezbędny do procesu szyfrowania, ważne jest, aby zapewnić, że wyznaczone Key Vault i klucz są dostępne przez cały czas.
Aby włączyć szyfrowanie danych
W portalu Microsoft Defender wybierz pozycję Ustawienia > Szyfrowanie danych > w usłudze Cloud Apps Włącz szyfrowanie > danych.
W polu Identyfikator URI klucza usługi Azure Key Vault wklej skopiowane wcześniej wartości identyfikatora URI identyfikatora klucza. Defender for Cloud Apps zawsze używa najnowszej wersji klucza, niezależnie od wersji klucza określonej przez identyfikator URI.
Po zakończeniu sprawdzania poprawności identyfikatora URI wybierz pozycję Włącz.
Uwaga
Po wyłączeniu szyfrowania danych Defender for Cloud Apps usuwa szyfrowanie przy użyciu własnego klucza z danych magazynowanych. Dane pozostają jednak zaszyfrowane za pomocą Defender for Cloud Apps kluczy zarządzanych.
Aby wyłączyć szyfrowanie danych: Przejdź do karty Szyfrowanie danych i kliknij pozycję Wyłącz szyfrowanie danych.
Obsługa rzutowania kluczy
Za każdym razem, gdy tworzysz nowe wersje klucza skonfigurowanego do szyfrowania danych, Defender for Cloud Apps automatycznie wprowadzany do najnowszej wersji klucza.
Jak obsługiwać błędy szyfrowania danych
Jeśli wystąpi problem z uzyskaniem dostępu do klucza usługi Azure Key Vault, Defender for Cloud Apps nie będzie szyfrować danych, a dzierżawa zostanie zablokowana w ciągu godziny. Gdy dzierżawa jest zablokowana, cały dostęp do niej będzie zablokowany do czasu rozwiązania przyczyny. Po ponownym udostępnieniu klucza zostanie przywrócony pełny dostęp do dzierżawy. Aby uzyskać informacje na temat obsługi błędów szyfrowania danych, zobacz Rozwiązywanie problemów z szyfrowaniem danych przy użyciu własnego klucza.