Detalhes do BYOK (Bring your own key) na Proteção de Informações do Azure

Observação

Está procurando pela Proteção de Informações do Microsoft Purview, conhecida anteriormente como MIP (Proteção de Informações da Microsoft)?

O suplemento Proteção de Informações do Azure é desativado e substituído por rótulos internos aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.

O cliente Microsoft Purview Information Protection (sem o suplemento) está disponível para o público em geral.

As organizações com uma assinatura da Proteção de Informações do Azure podem optar por configurar o locatário com sua própria chave, em vez de uma chave padrão gerada pela Microsoft. Este cenário é, muitas vezes, mencionado como Bring Your Own Key (BYOK).

O BYOK e o log de uso funcionam perfeitamente com aplicativos que se integram ao serviço Azure Rights Management usado pela Proteção de Informações do Azure.

Os aplicativos suportados incluem:

  • Serviços de nuvem, como Microsoft SharePoint ou Microsoft 365

  • Serviços locais executando aplicativos do Exchange e do SharePoint que usam o serviço Azure Rights Management por meio do conector RMS

  • Aplicativos cliente, como Office 2019, Office 2016 e Office 2013

Dica

Se necessário, aplique segurança adicional a documentos específicos usando uma chave local adicional. Para obter mais informações, confira Criptografia de Chave Dupla (Proteção DKE) (somente cliente de rotulagem unificada).

Armazenamento de chaves do Azure Key Vault

As chaves geradas pelo cliente devem ser armazenadas no Azure Key Vault para proteção BYOK.

Observação

Usar chaves protegidas por HSM no Azure Key Vault requer uma camada de serviço Premium do Azure Key Vault, que está sujeito a uma taxa de assinatura mensal adicional.

Compartilhar cofres de chaves e assinaturas

Recomendamos o uso de um cofre de chaves dedicado para sua chave de locatário. Cofres de chaves dedicados ajudam a garantir que as chamadas de outros serviços não façam com que os limites de serviço sejam excedidos. Exceder os limites de serviço no cofre de chaves onde sua chave de locatário está armazenada pode causar limitação de tempo de resposta para o serviço Azure Rights Management.

Como diferentes serviços têm requisitos de gerenciamento de chaves variados, a Microsoft também recomenda o uso de uma assinatura dedicada do Azure para seu cofre de chaves. Assinaturas dedicadas do Azure:

  • Ajude a proteger contra configurações incorretas

  • São mais seguros quando serviços diferentes têm administradores diferentes

Para compartilhar uma assinatura do Azure com outros serviços que usam o Azure Key Vault, verifique se a assinatura compartilha um conjunto comum de administradores. Confirmar que todos os administradores que usam a assinatura estejam cientes de cada chave que podem acessar, significa que terão menos chances de configurar incorretamente suas chaves.

Exemplo: usando uma assinatura compartilhada do Azure quando os administradores de sua chave de locatário da Proteção de Informações do Azure são os mesmos indivíduos que administram suas chaves para a Chave de Cliente do Office 365 e o CRM online. Se os administradores da chave desses serviços forem diferentes, recomendamos o uso de assinaturas dedicadas.

Benefícios de usar o Azure Key Vault

O Azure Key Vault oferece uma solução de gerenciamento de chaves centralizada e consistente para muitos serviços locais e baseados em nuvem que usam criptografia.

Além de gerenciar chaves, o Azure Key Vault oferece aos administradores de segurança a mesma experiência de gerenciamento para armazenar, acessar e gerenciar certificados e segredos (como senhas) para outros serviços e aplicativos que usam criptografia.

Armazenar sua chave de locatário no Azure Key Vault oferece as seguintes vantagens:

Vantagem Descrição
Interfaces internas O Azure Key Vault dá suporte a várias interfaces internas para gerenciamento de chaves, incluindo PowerShell, CLI, APIs REST e o portal do Azure.

Outros serviços e ferramentas foram integrados ao cofre de chaves para recursos otimizados para tarefas específicas, como monitoramento.

Por exemplo, analise seus logs de uso de chaves com a análise de log do Operations Management Suite, defina alertas quando os critérios especificados forem atendidos e assim por diante.
Separação de funções O Azure Key Vault oferece a separação de funções como uma prática recomendada de segurança reconhecida.

A separação de funções garante que os administradores da Proteção de Informações do Azure possam se concentrar em suas maiores prioridades, incluindo o gerenciamento de classificação e proteção de dados, como também chaves de criptografia e políticas para requisitos específicos de segurança ou conformidade.
Localização da chave mestra O Azure Key Vault está disponível em vários locais e permite organizações com restrições onde as chaves mestras podem habitar.

Para obter mais informações, consulte a página Produtos disponíveis por região no site do Azure.
Domínios de segurança separados O Azure Key Vault usa domínios de segurança separados para seus data centers em regiões como América do Norte, Europa, Oriente Médio, África (EMEA) e Ásia.

O Azure Key Vault também usa diferentes instâncias do Azure, como o Microsoft Azure Alemanha e o Azure Governamental.
Experiência unificada O Azure Key Vault também oferece aos administradores de segurança para armazenar, acessar e gerenciar certificados e segredos (como senhas) para outros serviços que usam criptografia.

Usar o Azure Key Vault para suas chaves de locatário oferece uma experiência de usuário perfeita para administradores que gerenciam todos esses elementos.

Para saber mais das atualizações mais recentes e aprender como outros serviços usam o Azure Key Vault, visite o blog da equipe do Azure Key Vault.

Log de uso para BYOK

Os logs de uso são gerados por todos os aplicativos que fazem solicitações ao serviço Azure Rights Management.

Embora o log de uso seja opcional, recomendamos usar os logs de uso quase em tempo real da Proteção de Informações do Azure para ver exatamente como e quando sua chave de locatário está sendo usada.

Para obter mais informações sobre o log de uso de chave para BYOK, consulte Registrar em log e analisar o uso de proteção da Proteção de Informações do Azure.

Dica

Para mais garantia, o registro em log de uso da Proteção de Informações do Azure pode ser cruzado com o registro de log do Azure Key Vault. Os logs do Cofre de Chaves fornecem um método confiável para monitorar independentemente se sua chave é usada apenas pelo serviço Azure Rights Management.

Se necessário, revogue imediatamente o acesso à sua chave removendo as permissões no cofre de chaves.

Opções para criar e armazenar sua chave

Observação

Para obter mais informações sobre a oferta de HSM gerenciado e como configurar um cofre e uma chave, consulte a documentação do Azure Key Vault.

Instruções adicionais sobre conceder a autorização de chave são descritas abaixo.

O BYOK é compatível com chaves criadas no Azure Key Vault ou localmente.

Se você criar sua chave localmente, deverá transferir ou importar ela para o Cofre de Chaves e configurar a Proteção de Informações do Azure para usá-la. Execute qualquer gerenciamento de chave adicional de dentro do Azure Key Vault.

Opções para criar e armazenar sua própria chave:

  • Criado no Azure Key Vault. Crie e armazene sua chave no Azure Key Vault como uma chave protegida por HSM ou protegida por software.

  • Criado localmente. Crie sua chave local e transfira-a para o Azure Key Vault usando uma das opções a seguir:

    • Chave protegida por HSM, transferida como uma chave protegida por HSM. O método mais comum escolhido.

      Embora esse método tenha a maior sobrecarga administrativa, ele pode ser necessário para que sua organização siga regulamentos específicos. Os HSMs usados pelo Cofre de Chaves do Azure têm validação FIPS 140.

    • Chave protegida por software que é convertida e transferida para o Azure Key Vault como uma chave protegida por HSM. Esse método é suportado somente ao migrar do Active Directory Rights Management Services (AD RMS).

    • Criado no local como uma chave protegida por software e transferido para o Azure Key Vault como uma chave protegida por software. Este método requer um arquivo .PFX certificado.

Por exemplo, faça o seguinte para usar uma chave criada localmente:

  1. Gere a chave de locatário localmente, de acordo com as políticas de TI e segurança da sua organização. Essa chave é a cópia mestra. Ele permanece no local e você é necessário para seu backup.

  2. Crie uma cópia da chave mestra e transfira-a com segurança do HSM para o Azure Key Vault. Durante esse processo, a cópia mestra da chave nunca sai do marco de delimitação da proteção de hardware.

Depois de transferida, a cópia da chave é protegida pelo Azure Key Vault.

Exportando o domínio de publicação confiável

Se você decidir parar de usar a Proteção de Informações do Azure, será preciso um domínio de publicação confiável (TPD) para descriptografar o conteúdo protegido pela Proteção de Informações do Azure.

No entanto, a exportação do TPD não será compatível se você estiver usando o BYOK para a chave da Proteção de Informações do Azure.

Para se preparar para esse cenário, certifique-se de criar um TPD adequado com antecedência. Para obter mais informações, consulte Como preparar um plano de "saída de nuvem" da Proteção de Informações do Azure.

Implementando o BYOK para a chave de locatário da Proteção de Informações do Azure

Use as etapas a seguir para a implementar o BYOK:

  1. Revisar os pré-requisitos do BYOK
  2. Escolha o local do Cofre de Chaves
  3. Criar e configurar chave

Pré-requisitos para BYOK

Os pré-requisitos do BYOK variam, dependendo da configuração do sistema. Verifique se o sistema está em conformidade com os seguintes pré-requisitos, conforme necessário:

Requisito Descrição
Assinatura do Azure Necessário para todas as configurações.
Para obter mais informações, consulte Verificando se você tem uma assinatura do Azure compatível com BYOK.
Módulo do AIPService PowerShell para a Proteção de Informações do Azure Necessário para todas as configurações.
Para obter mais informações, consulte Instalar um módulo do PowerShell.
Pré-requisitos do Azure Key Vault para BYOK Se você estiver usando uma chave protegida por HSM criada localmente, verifique se também você consente com os pré-requisitos para BYOK listados na documentação do Azure Key Vault.
Thales firmware versão 11.62 Você deve ter a versão 11.62 do firmware da Thales se estiver migrando do AD RMS para a Proteção de Informações do Azure usando a chave de software para a chave de hardware e estiver usando o firmware da Thales para seu HSM.
Bypass do firewall para serviços confiáveis da Microsoft Se o cofre de chaves que contém sua chave de locatário usar Pontos de Extremidade de Serviço de Rede Virtual para o Azure Key Vault, você deverá permitir que serviços confiáveis da Microsoft ignorem esse firewall.
Para obter mais informações, consulte Pontos de extremidade de serviço de rede virtual para o Azure Key Vault.

Verificando se você tem uma assinatura do Azure compatível com o BYOK

O locatário da Proteção de Informações do Azure deve ter uma assinatura do Azure. Se não tiver uma, você pode criar uma conta gratuita. No entanto, para usar uma chave protegida por HSM, você deve ter a camada de serviço Premium do Azure Key Vault.

A assinatura gratuita do Azure que fornece acesso à configuração do Microsoft Entra e à configuração de modelo personalizado do Azure Rights Management não é suficiente para usar o Azure Key Vault.

Para confirmar se você tem uma assinatura do Azure compatível com o BYOK, faça o seguinte para verificar, usando o cmdlets do Azure PowerShell:

  1. Inicie uma sessão do Azure PowerShell como administrador.

  2. Entrar como administrador global para o locatário da Proteção de Informações do Azure usando Connect-AzAccount.

  3. Copie o token exibido na área de transferência. Em seguida, em um navegador, vá para https://microsoft.com/devicelogin e insira o token copiado.

    Para obter mais informações, consulte Entrar com o Azure PowerShell.

  4. Em sua sessão do PowerShell, insira Get-AzSubscription e confirme se os seguintes valores são exibidos:

    • Nome e ID de assinatura
    • ID de locatário da Proteção de Informações do Azure
    • Confirmação de que o estado está habilitado

    Se nenhum valor for exibido e você for retornado ao prompt, você não possui uma assinatura do Azure que possa ser usada para BYOK.

Escolhendo o local do cofre de chaves

Ao criar um cofre de chaves para conter a chave a ser usada como a chave de locatário para Informações do Azure, é preciso especificar um local. Esse local é uma região do Azure ou instância do Azure.

Faça uma escolha primeiro para conformidade e, em seguida, para minimizar a latência da rede:

  • Se você escolheu o método de chave BYOK por motivos de conformidade, esses requisitos de conformidade também podem pedir qual região ou instância do Azure pode ser usada para armazenar a chave de locatário da Proteção de Informações do Azure.

  • Todas as chamadas criptográficas para a cadeia de proteção da chave de Proteção de Informações do Azure. Portanto, é preferível minimizar a latência de rede que essas chamadas exigem criando o cofre de chaves na mesma região ou instância do Azure que o locatário da Proteção de Informações do Azure.

Para identificar o local do locatário da Proteção de Informações do Azure, use o cmdlet Get-AipServiceConfiguration do PowerShell e identifique a região pelas URLs. Por exemplo:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

A região é identificável a partir de rms.na.aadrm.com, e para esse exemplo, está na América do Norte.

A tabela a seguir lista regiões e instâncias recomendadas do Azure para minimizar a latência de rede:

Região ou instância do Azure Local recomendado para o cofre de chaves
rms.na.aadrm.com Centro-Norte dos EUA ou Leste dos EUA
rms.eu.aadrm.com Norte da Europa ou Oeste da Europa
rms.ap.aadrm.com Leste da Ásia ou Sudeste Asiático
rms.sa.aadrm.com Oeste dos EUA ou Leste dos EUA
rms.govus.aadrm.com EUA Central ou Leste dos EUA 2
rms.aadrm.us US Gov - Virgínia ou US Gov - Arizona
rms.aadrm.cn Leste da China 2 ou Norte da China 2

Criar e configurar chave

Importante

Para informações específicas para HSMs gerenciados, confira Habilitando a autorização de chave para chaves HSM gerenciadas por meio da CLI do Azure.

Crie um Azure Key Vault e a chave que deseja usar para a Proteção de Informações do Azure. Para obter mais informações, consulte a documentação do Azure Key Vault.

Observe o seguinte para configurar o Azure Key Vault e a chave para BYOK:

Requisitos de comprimento de chave

Ao criar uma chave, verifique se o tamanho da chave é de 2048 bits (recomendado) ou 1024 bits. Outros comprimentos de chave não são compatíveis pela Proteção de Informações do Azure.

Observação

As chaves de 1024 bits não oferecem um nível adequado de proteção para chaves de locatário ativas.

A Microsoft não endossa o uso de comprimentos de chave mais baixos, como chaves RSA de 1024 bits, e o uso associado de protocolos que oferecem níveis inadequados de proteção, como SHA-1.

Criando uma chave protegida por HSM no local e transferindo-a para o cofre de chaves

Para criar uma chave protegida por HSM no local e transferi-la para o cofre de chaves como uma chave protegida por HSM, siga os procedimentos na documentação do Azure Key Vault: Como gerar e transferir chaves protegidas por HSM para o Azure Key Vault.

Para que a Proteção de Informações do Azure use a chave transferida, todas as operações do Cofre da Chave devem ser permitidas para a chave, incluindo:

  • criptografar
  • decrypt
  • wrapKey
  • unwrapKey
  • sign
  • verify

Por padrão, todas as operações do Cofre de Chaves são permitidas.

Para verificar as operações permitidas para uma chave específica, execute o seguinte comando do PowerShell:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

Se necessário, adicione operações permitidas usando Update-AzKeyVaultKey e o parâmetro KeyOps.

Configurando a Proteção de Informações do Azure com sua identificação da chave

Cada chave armazenada no Azure Key Vault têm uma identificação da chave.

A identificação da chave é uma URL que contém o nome do cofre de chaves, o contêiner de chaves, o nome da chave e a versão da chave. Por exemplo: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333

Configure a Proteção de Informações do Azure para usar a chave especificando sua URL do cofre de chaves.

Autorizar o serviço Azure Rights Management a usar a chave

O serviço Azure Rights Management precisa ser autorizado para usar a chave. Os administradores do Azure Key Vault podem habilitar essa autorização usando o portal do Azure ou o Azure PowerShell.

Habilitando a autorização de chave usando o portal do Azure
  1. Entre no portal do Azure e vá para Cofres de chaves><nome do cofre de chaves>>Políticas de acesso>Adicionar novo.

  2. No painel Adicionar política de acesso, na caixa de listagem Configurar a partir do modelo (opcional), selecione BYOK da Proteção de Informações do Azure e clique em OK.

    O modelo selecionado tem a seguinte configuração:

    • O valor Selecionar entidade de segurança é definido como Microsoft Rights Management Services.
    • As permissões de chave selecionadas incluem Obter, Descriptografar e Assinar.
Habilitando a autorização de chave usando o PowerShell

Execute o cmdlet do PowerShell do Cofre de Chaves, Set-AzKeyVaultAccessPolicy e conceda permissões à entidade de serviço do Azure Rights Management usando o GUID 00000012-0000-0000-c000-000000000000.

Por exemplo:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Habilitando a autorização da chave para chaves HSM gerenciadas por meio da CLI do Azure

Para conceder permissões do usuário de entidade de segurança ao serviço Azure Rights Management como um usuário da Criptografia HSM Gerenciado, execute o seguinte comando:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey

Onde:

  • ContosoMHSM é um exemplo de nome HSM. Ao executar esse comando, substitua esse valor pelo seu próprio nome HSM.

A função de usuário Usuário de Criptografia HSM Gerenciado permite descriptografar, assinar e obter permissões para a chave, que são necessárias para a funcionalidade do HSM Gerenciado.

Configurar a Proteção de Informações do Azure para usar a chave

Ao concluir todas as etapas acima, você estará pronto para configurar a Proteção de Informações do Azure para usar essa chave como a chave de locatário da sua organização.

Usando o cmdlets do Azure RMS, execute os seguintes comandos:

  1. Conecte-se ao serviço Azure Rights Management e entre:

    Connect-AipService
    
  2. Execute o cmdlet Use-AipServiceKeyVaultKey, especificando a URL da chave. Por exemplo:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    Importante

    Neste exemplo, <key-version> é a versão da chave que você deseja usar. Se você não especificar a versão, a versão atual da chave será usada por padrão e o comando pode parecer estar funcionando. No entanto, se sua chave for atualizada ou renovada posteriormente, o serviço Azure Rights Management deixará de funcionar para seu locatário, mesmo se você executar o comando Use-AipServiceKeyVaultKey novamente.

    Use o comando Get-AzKeyVaultKey se for necessário para obter o número de versão da chave atual.

    Por exemplo: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    Para confirmar se a URL da chave está definida corretamente para a Proteção de Informações do Azure, execute o comando Get-AzKeyVaultKey no Azure Key Vault para exibir a URL da chave.

  3. Se o serviço Azure Rights Management já estiver ativado, execute Set-AipServiceKeyProperties para dizer à Proteção de Informações do Azure para usar essa chave como a chave de locatário ativa para o serviço Azure Rights Management.

Agora a Proteção de Informações do Azure está configurada para usar sua chave em vez da chave padrão automática criada pela Microsoft para o locatário.

Próximas etapas

Depois de configurar a proteção BYOK, continue em Introdução à chave raiz do locatário para obter mais informações sobre como usar e gerenciar sua chave.