Podrobnosti o používání vlastního klíče (BYOK) pro Azure Information Protection
Poznámka:
Hledáte Microsoft Purview Information Protection, dříve Microsoft Information Protection (MIP)?
Doplněk Azure Information Protection se vyřadí a nahradí popisky, které jsou integrované v aplikacích a službách Microsoftu 365. Přečtěte si další informace o stavu podpory dalších komponent služby Azure Information Protection.
Klient Microsoft Purview Information Protection (bez doplňku) je obecně dostupný.
Organizace s předplatným Azure Information Protection můžou ke konfiguraci svého tenanta místo výchozího klíče vygenerovaného Microsoftem použít vlastní klíč. Tato konfigurace se často označuje jako Bring Your Own Key (BYOK).
Funkce BYOK a protokolování využití bezproblémově fungují s aplikacemi, které se integrují se službou Azure Rights Management používanou službou Azure Information Protection.
Mezi podporované aplikace patří:
Cloudové služby, jako je Microsoft SharePoint nebo Microsoft 365
Místní služby se spuštěnými aplikacemi Exchange a SharePointu, které používají službu Azure Rights Management prostřednictvím konektoru RMS
Klientské aplikace, jako jsou Office 2019, Office 2016 a Office 2013
Tip
V případě potřeby použijte další zabezpečení u konkrétních dokumentů pomocí dalšího místního klíče. Další informace najdete v tématu Ochrana DKE (Double Key Encryption) (pouze klient sjednoceného popisování).
Úložiště klíčů služby Azure Key Vault
Klíče generované zákazníkem musí být uložené ve službě Azure Key Vault pro ochranu BYOK.
Poznámka:
Použití klíčů chráněných MODULEm HSM ve službě Azure Key Vault vyžaduje úroveň služby Azure Key Vault Premium, která účtuje další měsíční poplatek za předplatné.
Sdílení trezorů klíčů a předplatných
Pro klíč tenanta doporučujeme použít vyhrazený trezor klíčů. Vyhrazené trezory klíčů pomáhají zajistit, aby volání jiných služeb nezpůsobovala překročení limitů služeb. Překročení limitů služby v trezoru klíčů, ve kterém je uložený klíč tenanta, může způsobit omezování doby odezvy pro službu Azure Rights Management.
Vzhledem k tomu, že různé služby mají různé požadavky na správu klíčů, Microsoft také doporučuje pro váš trezor klíčů používat vyhrazené předplatné Azure. Vyhrazená předplatná Azure:
Pomoc s ochranou před chybnou konfigurací
Jsou bezpečnější, když různé služby mají různé správce
Pokud chcete sdílet předplatné Azure s dalšími službami, které používají Azure Key Vault, ujistěte se, že předplatné sdílí společnou sadu správců. Potvrzení, že všichni správci, kteří používají předplatné, mají solidní znalosti o každém klíči, ke kterému mají přístup, znamená, že jsou méně pravděpodobné, že vaše klíče chybně nakonfigurují.
Příklad: Použití sdíleného předplatného Azure, pokud jsou správci klíče tenanta Azure Information Protection stejní jednotlivci, kteří spravují klíče pro klíč zákazníka Office 365 a CRM online. Pokud se klíčoví správci těchto služeb liší, doporučujeme používat vyhrazená předplatná.
Výhody používání služby Azure Key Vault
Azure Key Vault poskytuje centralizované a konzistentní řešení správy klíčů pro mnoho cloudových a místních služeb, které používají šifrování.
Kromě správy klíčů nabízí Azure Key Vault správcům zabezpečení stejné prostředí pro správu pro ukládání, přístup a správu certifikátů a tajných kódů (například hesel) pro jiné služby a aplikace, které používají šifrování.
Uložení klíče tenanta ve službě Azure Key Vault nabízí následující výhody:
Výhoda | Popis |
---|---|
Integrovaná rozhraní | Azure Key Vault podporuje řadu integrovaných rozhraní pro správu klíčů, včetně PowerShellu, rozhraní příkazového řádku, rozhraní REST API a webu Azure Portal. Další služby a nástroje jsou integrované se službou Key Vault pro optimalizované funkce pro konkrétní úlohy, jako je monitorování. Můžete například analyzovat protokoly využití klíčů pomocí nástroje Operations Management Suite Log Analytics, nastavit upozornění při splnění zadaných kritérií atd. |
Oddělení rolí | Azure Key Vault poskytuje oddělení rolí jako uznávaný osvědčený postup zabezpečení. Oddělení rolí zajišťuje, aby se správci služby Azure Information Protection mohli zaměřit na své nejvyšší priority, včetně správy klasifikace a ochrany dat a šifrovacích klíčů a zásad pro konkrétní požadavky na zabezpečení nebo dodržování předpisů. |
Umístění hlavního klíče | Služba Azure Key Vault je k dispozici v různých umístěních a podporuje organizace s omezeními, kdy se hlavní klíče můžou žít. Další informace najdete na stránce Produkty dostupné podle oblastí na webu Azure. |
Oddělené domény zabezpečení | Azure Key Vault používá pro svá datová centra samostatné domény zabezpečení v oblastech, jako jsou Severní Amerika, EMEA (Evropa, Střední východ a Afrika) a Asie. Azure Key Vault také používá různé instance Azure, jako je Microsoft Azure Germany a Azure Government. |
Jednotné prostředí | Azure Key Vault také umožňuje správcům zabezpečení ukládat, přistupovat k nim a spravovat certifikáty a tajné kódy, jako jsou hesla, pro jiné služby, které používají šifrování. Použití služby Azure Key Vault pro klíče tenanta poskytuje bezproblémové uživatelské prostředí pro správce, kteří spravují všechny tyto prvky. |
Nejnovější aktualizace a informace o tom, jak ostatní služby používají Azure Key Vault, najdete na blogu týmu služby Azure Key Vault.
Protokolování využití pro BYOK
Protokoly využití generují každá aplikace, která provádí požadavky na službu Azure Rights Management.
I když je protokolování využití volitelné, doporučujeme použít protokoly využití téměř v reálném čase ze služby Azure Information Protection, abyste přesně zjistili, jak a kdy se klíč tenanta používá.
Další informace o protokolování použití klíče pro BYOK najdete v tématu Protokolování a analýza využití ochrany ze služby Azure Information Protection.
Tip
Kvůli dalšímu zajištění je možné protokolování využití služby Azure Information Protection křížově odkazovat s protokolováním služby Azure Key Vault. Protokoly služby Key Vault poskytují spolehlivou metodu pro nezávislé monitorování toho, že váš klíč používá jenom služba Azure Rights Management.
V případě potřeby okamžitě odvolejte přístup k vašemu klíči odebráním oprávnění k trezoru klíčů.
Možnosti pro vytvoření a uložení klíče
Poznámka:
Další informace o nabídce spravovaného HSM a o tom, jak nastavit trezor a klíč, najdete v dokumentaci ke službě Azure Key Vault.
Další pokyny k udělení autorizace klíče jsou popsány níže.
BYOK podporuje klíče, které se vytvářejí buď ve službě Azure Key Vault, nebo místně.
Pokud klíč vytvoříte místně, musíte ho přenést nebo naimportovat do služby Key Vault a nakonfigurovat službu Azure Information Protection tak, aby používala tento klíč. Proveďte veškerou další správu klíčů ze služby Azure Key Vault.
Možnosti vytvoření a uložení vlastního klíče:
Vytvořeno ve službě Azure Key Vault. Vytvořte a uložte klíč ve službě Azure Key Vault jako klíč chráněný HSM nebo klíč chráněný softwarem.
Vytvořeno místně. Vytvořte svůj klíč místně a pomocí jedné z následujících možností ho přeneste do služby Azure Key Vault:
Klíč chráněný modulem HSM, přenesený jako klíč chráněný HSM. Nejtypičtější zvolená metoda.
I když tato metoda má největší režii na správu, může být potřeba, aby vaše organizace dodržovala konkrétní předpisy. Moduly HSM používané službou Azure Key Vault mají ověřování FIPS 140.
Klíč chráněný softwarem, který se převede a přenese do služby Azure Key Vault jako klíč chráněný HSM. Tato metoda se podporuje pouze při migraci z služba AD RMS (Active Directory Rights Management Services) (AD RMS).
Vytvořili jste místně jako software chráněný klíč a přenesli ho do služby Azure Key Vault jako klíč chráněný softwarem. Tato metoda vyžaduje . Soubor certifikátu PFX.
Pokud například chcete použít klíč vytvořený místně, postupujte takto:
Vygenerujte klíč tenanta v místním prostředí v souladu se zásadami IT a zabezpečení vaší organizace. Tento klíč je hlavní kopie. Zůstane místní a vyžaduje se pro její zálohování.
Vytvořte kopii hlavního klíče a bezpečně ji přeneste z HSM do služby Azure Key Vault. Během tohoto procesu hlavní kopie klíče nikdy neopustí hranici ochrany hardwaru.
Po převodu je kopie klíče chráněná službou Azure Key Vault.
Export důvěryhodné domény publikování
Pokud se někdy rozhodnete službu Azure Information Protection přestat používat, budete potřebovat důvěryhodnou doménu publikování (TPD) k dešifrování obsahu chráněného službou Azure Information Protection.
Pokud ale pro svůj klíč Azure Information Protection používáte BYOK, export vašeho TPD se nepodporuje.
Pokud se chcete připravit na tento scénář, nezapomeňte předem vytvořit vhodný čip TPD. Další informace najdete v tématu Příprava plánu "Cloud Exit" služby Azure Information Protection.
Implementace BYOK pro klíč tenanta Služby Azure Information Protection
K implementaci BYOK použijte následující kroky:
Požadavky pro BYOK
Požadavky BYOK se liší v závislosti na konfiguraci systému. Podle potřeby ověřte, že váš systém splňuje následující požadavky:
Požadavek | Popis |
---|---|
Předplatné Azure | Vyžaduje se pro všechny konfigurace. Další informace najdete v tématu Ověření, že máte předplatné Azure kompatibilní s BYOK. |
Modul AIPService PowerShell pro Azure Information Protection | Vyžaduje se pro všechny konfigurace. Další informace najdete v tématu Instalace modulu AIPService PowerShell. |
Požadavky služby Azure Key Vault pro BYOK | Pokud používáte klíč chráněný modulem HSM, který byl vytvořen místně, ujistěte se, že splňujete také požadavky pro BYOK uvedené v dokumentaci ke službě Azure Key Vault. |
Firmware Thales verze 11.62 | Pokud migrujete ze služby AD RMS na Azure Information Protection pomocí softwarového klíče na hardwarový klíč a používáte firmware Thales pro váš HSM, musíte mít verzi firmwaru Thales 11.62. |
Obejití brány firewall pro důvěryhodné služby Microsoft | Pokud trezor klíčů obsahující váš klíč tenanta používá koncové body služby virtuální sítě pro Azure Key Vault, musíte povolit důvěryhodné služby Microsoft obejít tuto bránu firewall. Další informace najdete v tématu Koncové body služby pro virtuální síť pro Azure Key Vault. |
Ověření, že máte předplatné Azure kompatibilní s BYOK
Váš tenant Azure Information Protection musí mít předplatné Azure. Pokud ho ještě nemáte, můžete si zaregistrovat bezplatný účet. Pokud ale chcete použít klíč chráněný modulem HSM, musíte mít úroveň služby Azure Key Vault Premium.
Bezplatné předplatné Azure, které poskytuje přístup ke konfiguraci Microsoft Entra a vlastní konfiguraci šablony Azure Rights Management, nestačí pro použití služby Azure Key Vault.
Pokud chcete ověřit, jestli máte předplatné Azure, které je kompatibilní s BYOK, pomocí rutin Azure PowerShellu postupujte následovně:
Spusťte relaci Azure PowerShellu jako správce.
Přihlaste se jako globální správce tenanta Azure Information Protection pomocí
Connect-AzAccount
.Zkopírujte token zobrazený do schránky. Pak v prohlížeči přejděte na https://microsoft.com/devicelogin zkopírovaný token a zadejte ho.
Další informace najdete v tématu Přihlášení pomocí Azure PowerShellu.
V relaci PowerShellu zadejte
Get-AzSubscription
a potvrďte, že se zobrazí následující hodnoty:- Název a ID vašeho předplatného
- ID tenanta služby Azure Information Protection
- Potvrzení, že je stav povolený
Pokud se nezobrazí žádné hodnoty a vrátíte se do výzvy, nemáte předplatné Azure, které se dá použít pro BYOK.
Volba umístění trezoru klíčů
Když vytvoříte trezor klíčů, který bude obsahovat klíč, který se použije jako klíč tenanta pro Azure Information, musíte zadat umístění. Toto umístění je oblast Azure nebo instance Azure.
Nejprve vyberte dodržování předpisů a pak minimalizujte latenci sítě:
Pokud jste z důvodů dodržování předpisů zvolili metodu klíče BYOK, můžou tyto požadavky na dodržování předpisů také vyžadovat, kterou oblast Nebo instanci Azure můžete použít k uložení klíče tenanta Azure Information Protection.
Všechna kryptografická volání pro řetěz ochrany vašeho klíče Azure Information Protection. Proto můžete chtít minimalizovat latenci sítě, kterou tato volání vyžadují, vytvořením trezoru klíčů ve stejné oblasti Nebo instanci Azure jako tenant Azure Information Protection.
K identifikaci umístění tenanta Služby Azure Information Protection použijte rutinu PowerShellu Get-AipServiceConfiguration a identifikujte oblast z adres URL. Příklad:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
Oblast je identifikovatelná z rms.na.aadrm.com a v tomto příkladu je v Severní Amerika.
Následující tabulka uvádí doporučené oblasti a instance Azure pro minimalizaci latence sítě:
Oblast nebo instance Azure | Doporučené umístění pro trezor klíčů |
---|---|
Rms.na.aadrm.com | USA – středosever nebo USA – východ |
Rms.eu.aadrm.com | Severní Evropa nebo Západní Evropa |
Rms.ap.aadrm.com | Východní Asie nebo Jihovýchodní Asie |
Rms.sa.aadrm.com | USA – západ nebo USA – východ |
Rms.govus.aadrm.com | USA – střed nebo USA – východ 2 |
Rms.aadrm.us | US Gov Virginia nebo US Gov Arizona |
Rms.aadrm.cn | Čína – východ 2 nebo Čína – sever 2 |
Vytvoření a konfigurace klíče
Důležité
Informace týkající se spravovaných HSM najdete v tématu Povolení autorizace klíčů pro spravované klíče HSM prostřednictvím Azure CLI.
Vytvořte službu Azure Key Vault a klíč, který chcete použít pro Azure Information Protection. Další informace najdete v dokumentaci ke službě Azure Key Vault.
Pro konfiguraci služby Azure Key Vault a klíče pro BYOK si poznamenejte následující:
- Požadavky na délku klíče
- Vytvoření místního klíče chráněného modulem HSM a jeho přenos do trezoru klíčů
- Konfigurace služby Azure Information Protection pomocí ID klíče
- Autorizace služby Azure Rights Management pro použití vašeho klíče
Požadavky na délku klíče
Při vytváření klíče se ujistěte, že délka klíče je 2048 bitů (doporučeno) nebo 1024 bitů. Azure Information Protection nepodporuje jiné délky klíčů.
Poznámka:
1024bitové klíče se nepovažují za odpovídající úroveň ochrany pro aktivní klíče tenanta.
Microsoft nedoporučuje používat nižší délky klíčů, jako jsou 1024bitové klíče RSA, a přidružené použití protokolů, které nabízejí nedostatečné úrovně ochrany, jako je SHA-1.
Vytvoření místního klíče chráněného modulem HSM a jeho přenos do trezoru klíčů
Pokud chcete vytvořit klíč chráněný modulem HSM místně a přenést ho do trezoru klíčů jako klíč chráněný HSM, postupujte podle pokynů v dokumentaci ke službě Azure Key Vault: Jak generovat a přenášet klíče chráněné hsm pro Azure Key Vault.
Aby služba Azure Information Protection používala přenesený klíč, musí být pro tento klíč povoleny všechny operace služby Key Vault, včetně následujících:
- šifrování
- Dešifrování
- wrapKey
- unwrapKey
- znak
- verify
Ve výchozím nastavení jsou povolené všechny operace služby Key Vault.
Pokud chcete zkontrolovat povolené operace pro konkrétní klíč, spusťte následující příkaz PowerShellu:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
V případě potřeby přidejte povolené operace pomocí Update-AzKeyVaultKey a parametru KeyOps .
Konfigurace služby Azure Information Protection pomocí ID klíče
Klíče uložené ve službě Azure Key Vault mají id klíče.
ID klíče je adresa URL, která obsahuje název trezoru klíčů, kontejner klíčů, název klíče a verzi klíče. Příklad: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
Nakonfigurujte Službu Azure Information Protection tak, aby používala váš klíč zadáním adresy URL trezoru klíčů.
Autorizace služby Azure Rights Management pro použití vašeho klíče
Aby služba Azure Rights Management používala váš klíč, musí být autorizovaná. Správci služby Azure Key Vault můžou tuto autorizaci povolit pomocí webu Azure Portal nebo Azure PowerShellu.
Povolení autorizace klíče pomocí webu Azure Portal
Přihlaste se k webu Azure Portal a přejděte>>do trezorů klíčů, do které><zásady přístupu>přidají nové.
V podokně Přidat zásadu přístupu vyberte v seznamu Konfigurovat ze šablony (volitelné) možnost Azure Information Protection BYOK a klikněte na tlačítko OK.
Vybraná šablona má následující konfiguraci:
- Hodnota vybrat objekt zabezpečení je nastavená na službu Microsoft Rights Management Services.
- Mezi vybraná oprávnění ke klíči patří Get, Decrypt a Sign.
Povolení autorizace klíče pomocí PowerShellu
Spusťte rutinu PowerShellu služby Key Vault, Set-AzKeyVaultAccessPolicy a udělte oprávnění instančnímu objektu služby Azure Rights Management pomocí identifikátoru GUID 00000012-0000-0000-c000-0000000000000.
Příklad:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Povolení autorizace klíče pro spravované klíče HSM prostřednictvím Azure CLI
Spuštěním následujícího příkazu udělte oprávnění uživatele instančního objektu služby Azure Rights Management jako uživatel spravovaného kryptografického modulu HSM:
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
Kde:
- ContosoMHSM je ukázkový název HSM. Při spuštění tohoto příkazu nahraďte tuto hodnotu vlastním názvem HSM.
Role uživatele spravovaného hsm Crypto User umožňuje uživateli dešifrovat, podepsat a získat oprávnění ke klíči, které jsou všechny potřebné pro funkce spravovaného HSM.
Konfigurace služby Azure Information Protection pro použití vašeho klíče
Jakmile dokončíte všechny kroky uvedené výše, jste připraveni nakonfigurovat Službu Azure Information Protection tak, aby používala tento klíč jako klíč tenanta vaší organizace.
Pomocí rutin Azure RMS spusťte následující příkazy:
Připojení do služby Azure Rights Management a přihlásit se:
Connect-AipService
Spusťte rutinu Use-AipServiceKeyVaultKey a zadejte adresu URL klíče. Příklad:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
Důležité
V tomto příkladu je verze klíče,
<key-version>
který chcete použít. Pokud verzi nezadáte, použije se ve výchozím nastavení aktuální verze klíče a příkaz se může zdát funkční. Pokud se ale klíč později aktualizuje nebo obnoví, přestane služba Azure Rights Management fungovat pro vašeho tenanta, i když znovu spustíte příkaz Use-AipServiceKeyVaultKey .Pomocí příkazu Get-AzKeyVaultKey podle potřeby získejte číslo verze aktuálního klíče.
Příklad:
Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'
Pokud chcete ověřit, že je adresa URL klíče správně nastavená pro Azure Information Protection, spusťte příkaz Get-AzKeyVaultKey ve službě Azure Key Vault a zobrazte adresu URL klíče.
Pokud už je služba Azure Rights Management aktivovaná, spusťte Set-AipServiceKeyProperties a řekněte službě Azure Information Protection, aby tento klíč používal jako aktivní klíč tenanta pro službu Azure Rights Management.
Služba Azure Information Protection je teď nakonfigurovaná tak, aby používala váš klíč místo výchozího klíče vytvořeného Microsoftem pro vašeho tenanta.
Další kroky
Jakmile nakonfigurujete ochranu BYOK, pokračujte v začínáme s kořenovým klíčem tenanta, kde najdete další informace o používání a správě klíče.