Criptografar dados inativos de Aplicativos do Defender para Nuvem com sua própria chave (BYOK)

Este artigo descreve como configurar o Defender para Aplicativos de Nuvem para usar sua própria chave para criptografar os dados que ele coleta, enquanto estão inativos. Se você estiver procurando documentação sobre como aplicar criptografia a dados armazenados em aplicativos na nuvem, confira Integração do Microsoft Purview.

O Defender para Aplicativos de Nuvem leva sua segurança e privacidade a sério. Portanto, quando o Defender para Aplicativos de Nuvem começa a coletar dados, ele usa as próprias chaves gerenciadas para proteger seus dados de acordo com nossa política de privacidade e segurança de dados. Além disso, o Defender para Aplicativos de Nuvem permite proteger ainda mais seus dados inativos criptografando-os com sua própria chave do Azure Key Vault.

Importante

Se houver um problema ao acessar a chave do Azure Key Vault, o Defender para Aplicativos de Nuvem não criptografará os dados e o locatário será bloqueado dentro de uma hora. Quando o locatário estiver bloqueado, todo o acesso a ele será bloqueado até que a causa seja resolvida. Assim que sua chave estiver acessível novamente, o acesso completo ao locatário será restaurado.

Esse procedimento está disponível apenas no portal do Microsoft Defender e não pode ser executado no portal clássico do Microsoft Defender para Aplicativos de Nuvem.

Pré-requisitos

Você deve registrar o aplicativo Microsoft Defender para Aplicativos de Nuvem - BYOK no Microsoft Entra ID do seu locatário associado ao locatário do Defender para Aplicativos de Nuvem.

Para registrar o aplicativo

  1. Instale o PowerShell do Microsoft Graph.

  2. Abra um terminal do PowerShell e execute os seguintes comandos:

    Connect-MgGraph -Scopes "Application.ReadWrite.All"
    
    # Create a new service principal
    New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd
    
    # Update Service Principal
    $servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
    $params = @{
    	accountEnabled = $true
    }
    
    Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params
    

    Em que ServicePrincipalId é a ID retornada pelo comando anterior (New-MgServicePrincipal).

Observação

  • O Defender para Aplicativos de Nuvem criptografa dados inativos para todos os novos locatários.
  • Todos os dados que residirem no Defender para Aplicativos de Nuvem por mais de 48 horas serão criptografados.

Implantar chave do Azure Key Vault

  1. Crie um novo Key Vault com as opções Exclusão temporária e Proteção contra limpeza habilitadas.

  2. No novo Key Vault gerado, abra o painel Políticas de acesso e selecione +Adicionar Política de Acesso.

    1. Selecione Permissões de chave e escolha as seguintes permissões no menu suspenso:

      Seção Permissões necessárias
      Operações de Gerenciamento de Chaves - Lista
      Operações de criptografia - Encapsular chave
      - Desencapsular chave

      Captura de tela mostrando a seleção de permissões de chave.

    2. Em Selecionar entidade de segurança, escolha Microsoft Defender para Aplicativos de Nuvem - BYOK ou Microsoft Cloud App Security - BYOK.

      Captura de tela mostrando a página Adicionar política de acesso.

    3. Selecione Salvar.

  3. Crie uma chave RSA e faça o seguinte:

    Observação

    Apenas chaves RSA são compatíveis.

    1. Depois de criar a chave, selecione a nova chave gerada, escolha a versão atual e, em seguida, você verá Operações permitidas.

    2. Em Operações permitidas, verifique se as seguintes opções estão habilitadas:

      • Encapsular chave
      • Desencapsular chave
    3. Copie o URI do Identificador de chave. Você precisará dela mais tarde.

    Captura de tela mostrando a página de configurações de chave.

  4. Opcionalmente, se estiver usando um firewall para uma rede selecionada, defina as seguintes configurações de firewall para dar ao Defender para Aplicativos de Nuvem acesso à chave especificada e clique em Salvar:

    1. Verifique se nenhuma rede virtual está selecionada.
    2. Adicione os seguintes endereços IP:
      • 13.66.200.132
      • 23.100.71.251
      • 40.78.82.214
      • 51.105.4.145
      • 52.166.166.111
      • 13.72.32.204
      • 52.244.79.38
      • 52.227.8.45
    3. Selecione Permitir que os serviços Microsoft confiáveis ignorem este firewall.

    Captura de tela mostrando a configuração do firewall.

Habilitar a criptografia de dados no Defender para Aplicativos de Nuvem

Ao habilitar a criptografia de dados, o Defender para Aplicativos de Nuvem usa imediatamente sua chave do Azure Key Vault para criptografar dados inativos. Como sua chave é essencial para o processo de criptografia, é importante garantir que o Key Vault e a chave designados estejam acessíveis o tempo todo.

Para habilitar a criptografia de dados

  1. No portal do Microsoft Defender, selecione Configurações > Aplicativos de Nuvem > Criptografia de dados > Ativar criptografia de dados.

  2. Na caixa URI de chave do Azure Key Vault, cole o valor de URI do identificador de chave copiado anteriormente. O Defender para Aplicativos de Nuvem sempre usa a versão de chave mais recente, independentemente da versão da chave especificada pelo URI.

  3. Depois que a validação do URI for concluída, selecione Habilitar.

Observação

Ao desabilitar a criptografia de dados, o Defender para Aplicativos de Nuvem remove a criptografia com sua própria chave dos dados inativos. No entanto, seus dados permanecem criptografados pelas chaves gerenciadas do Defender para Aplicativos de Nuvem.

Para desabilitar a criptografia de dados: acesse a guia Criptografia de dados e clique em Desabilitar criptografia de dados.

Manuseio do rolo de chaves

Sempre que você cria novas versões da chave configurada para criptografia de dados, o Defender para Aplicativos de Nuvem rola automaticamente para a última versão da chave.

Como lidar com falhas na criptografia de dados

Se houver um problema ao acessar a chave do Azure Key Vault, o Defender para Aplicativos de Nuvem não criptografará os dados e o locatário será bloqueado dentro de uma hora. Quando o locatário estiver bloqueado, todo o acesso a ele será bloqueado até que a causa seja resolvida. Assim que sua chave estiver acessível novamente, o acesso completo ao locatário será restaurado. Para obter informações sobre como lidar com falhas na criptografia de dados, confira Solucionar problemas de criptografia de dados com sua própria chave.