Dela via

Kryptera Defender for Cloud Apps vilande data med din egen nyckel (BYOK)

  • Artikel

Den här artikeln beskriver hur du konfigurerar Defender for Cloud Apps att använda din egen nyckel för att kryptera de data som samlas in, medan de är i vila. Om du letar efter dokumentation om att tillämpa kryptering på data som lagras i molnappar kan du läsa Microsoft Purview-integrering.

Defender for Cloud Apps tar din säkerhet och integritet på allvar. När Defender for Cloud Apps börjar samla in data använder den därför sina egna hanterade nycklar för att skydda dina data i enlighet med vår datasäkerhets- och sekretesspolicy. Med Defender for Cloud Apps kan du dessutom skydda dina vilande data ytterligare genom att kryptera dem med din egen Azure Key Vault-nyckel.

Viktigt

Om det uppstår problem med att komma åt din Azure Key Vault-nyckel kan Defender for Cloud Apps inte kryptera dina data och din klientorganisation kommer att låsas inom en timme. När din klientorganisation är låst blockeras all åtkomst till den tills orsaken har lösts. När nyckeln är tillgänglig igen återställs fullständig åtkomst till din klientorganisation.

Den här proceduren är endast tillgänglig i Microsoft Defender-portalen och kan inte utföras på den klassiska Microsoft Defender for Cloud Apps-portalen.

Förhandskrav

Du måste registrera Microsoft Defender for Cloud Apps – BYOK-appen i klientorganisationens Microsoft Entra ID som är associerad med din Defender for Cloud Apps klientorganisation.

Registrera appen

  1. Installera Microsoft Graph PowerShell.

  2. Öppna en PowerShell-terminal och kör följande kommandon:

    Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

    Där ServicePrincipalId är det ID som returnerades av föregående kommando (New-MgServicePrincipal).

Obs!

  • Defender for Cloud Apps krypterar vilande data för alla nya klienter.
  • Alla data som finns i Defender for Cloud Apps i mer än 48 timmar krypteras.

Distribuera din Azure Key Vault-nyckel

  1. Skapa en ny Key Vault med alternativen Mjuk borttagning och rensningsskydd aktiverat.

  2. I den nya genererade Key Vault öppnar du fönstret Åtkomstprinciper och väljer sedan +Lägg till åtkomstprincip.

    1. Välj Nyckelbehörigheter och välj följande behörigheter på den nedrullningsbara menyn:

      Sektion Nödvändiga behörigheter
      Nyckelhanteringsåtgärder -Lista
      Kryptografiska åtgärder - Radbytesnyckel
      - Packa upp nyckel

      Skärmbild som visar valet av nyckelbehörigheter.

    2. Under Välj huvudnamn väljer du Microsoft Defender for Cloud Apps – BYOK eller Microsoft Cloud App Security – BYOK.

      Skärmbild som visar sidan Lägg till åtkomstprincip.

    3. Välj Spara.

  3. Skapa en ny RSA-nyckel och gör följande:

    Obs!

    Endast RSA-nycklar stöds.

    1. När du har skapat nyckeln väljer du den nya genererade nyckeln, väljer den aktuella versionen och ser sedan Tillåtna åtgärder.

    2. Under Tillåtna åtgärder kontrollerar du att följande alternativ är aktiverade:

      • Radbytesnyckel
      • Packa upp nyckel

    3. Kopiera nyckelidentifierarens URI. Du behöver det senare.

    Skärmbild som visar sidan med nyckelinställningar.

  4. Om du vill kan du om du använder en brandvägg för ett valt nätverk konfigurera följande brandväggsinställningar för att ge Defender for Cloud Apps åtkomst till den angivna nyckeln och klicka sedan på Spara:

    1. Kontrollera att inga virtuella nätverk har valts.
    2. Lägg till följande IP-adresser:
      • 13.66.200.132
      • 23.100.71.251
      • 40.78.82.214
      • 51.105.4.145
      • 52.166.166.111
      • 13.72.32.204
      • 52.244.79.38
      • 52.227.8.45
    3. Välj Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen.

    Skärmbild som visar brandväggskonfiguration.

Aktivera datakryptering i Defender for Cloud Apps

När du aktiverar datakryptering använder Defender for Cloud Apps omedelbart din Azure Key Vault-nyckel för att kryptera vilande data. Eftersom din nyckel är viktig för krypteringsprocessen är det viktigt att se till att din avsedda Key Vault och nyckel alltid är tillgängliga.

Så här aktiverar du datakryptering

  1. I Microsoft Defender-portalen väljer du Inställningar > Cloud Apps > Datakryptering > Aktivera datakryptering.

  2. I rutan Azure Key Vault nyckel-URI klistrar du in nyckelidentifierarens URI-värde som du kopierade tidigare. Defender for Cloud Apps använder alltid den senaste nyckelversionen, oavsett vilken nyckelversion som anges av URI:n.

  3. När URI-verifieringen har slutförts väljer du Aktivera.

Obs!

När du inaktiverar datakryptering tar Defender for Cloud Apps bort krypteringen med din egen nyckel från vilande data. Dina data förblir dock krypterade av Defender for Cloud Apps hanterade nycklar.

Så här inaktiverar du datakryptering: Gå till fliken Datakryptering och klicka på Inaktivera datakryptering.

Hantering av nyckelrulle

När du skapar nya versioner av nyckeln som konfigurerats för datakryptering Defender for Cloud Apps automatiskt till den senaste versionen av nyckeln.

Hantera datakrypteringsfel

Om det uppstår problem med att komma åt din Azure Key Vault-nyckel kommer Defender for Cloud Apps inte att kunna kryptera dina data och klientorganisationen kommer att låsas inom en timme. När din klientorganisation är låst blockeras all åtkomst till den tills orsaken har lösts. När nyckeln är tillgänglig igen återställs fullständig åtkomst till din klientorganisation. Information om hur du hanterar datakrypteringsfel finns i Felsöka datakryptering med din egen nyckel.