Traer su propia clave (BYOK) detalles para Azure Information Protection
Nota
¿Estás buscando Microsoft Information Protection? El cliente de etiquetado unificado de Azure Information Protection está actualmente en modo de mantenimiento. Se recomienda habilitar el etiquetado integrado de Microsoft Information Protection para las aplicaciones de Office 365. Más información.
Las organizaciones con una suscripción a Azure Information Protection pueden elegir configurar su inquilino con su propia clave, en lugar de una clave predeterminada generada por Microsoft. Esta configuración se denomina a menudo Traer su propia clave (BYOK).
BYOK y el registro de uso funcionan sin problemas con las aplicaciones que se integran con el servicio Azure Rights Management usado por Azure Information Protection.
Entre las aplicaciones compatibles se incluyen:
Servicios en la nube, como Microsoft SharePoint o Microsoft 365
Servicios locales que ejecutan Exchange y aplicaciones de SharePoint que usan el servicio Azure Rights Management a través del conector RMS
Aplicaciones cliente, como Office 2019, Office 2016 y Office 2013
Propina
Si es necesario, aplique seguridad adicional a documentos específicos con una clave local adicional. Para obtener más información, consulte Protección de cifrado de clave doble (DKE) (cliente de etiquetado unificado solamente).
Almacenamiento de claves de Azure Key Vault
Las claves generadas por el cliente deben almacenarse en azure Key Vault para la protección byok.
Nota
El uso de claves protegidas con HSM en azure Key Vault requiere un nivel de servicio de Azure Key Vault Premium, que incurre en una cuota de suscripción mensual adicional.
Uso compartido de suscripciones y almacenes de claves
Se recomienda usar un almacén de claves dedicado para su clave de inquilino. Los almacenes de claves dedicados ayudan a garantizar que las llamadas de otros servicios no hagan que se superen los límites del servicio . Superar los límites de servicio en el almacén de claves donde se almacena la clave de inquilino puede provocar la limitación del tiempo de respuesta para el servicio Azure Rights Management.
Como los distintos servicios tienen distintos requisitos de administración de claves, Microsoft también recomienda usar una suscripción de Azure dedicada para su almacén de claves. Suscripciones de Azure dedicadas:
Ayudar a proteger contra errores de configuración
Son más seguros cuando los diferentes servicios tienen administradores diferentes
Para compartir una suscripción de Azure con otros servicios que usan Azure Key Vault, asegúrese de que la suscripción comparte un conjunto común de administradores. Al confirmar que todos los administradores que usan la suscripción tienen un conocimiento sólido de todas las claves a las que pueden acceder, significa que tienen menos probabilidades de mal configurar las claves.
Ejemplo: Usar una suscripción compartida de Azure cuando los administradores de la clave de inquilino de Azure Information Protection son las mismas personas que administran las claves para Office 365 clave de cliente y CRM en línea. Si los administradores clave de estos servicios son diferentes, se recomienda usar suscripciones dedicadas.
Ventajas de usar Azure Key Vault
Azure Key Vault proporciona una solución de administración de claves centralizada y coherente para muchos servicios basados en la nube y locales que usan cifrado.
Además de administrar claves, Azure Key Vault ofrece a los administradores de seguridad la misma experiencia de administración para almacenar, acceder y administrar certificados y secretos (como contraseñas) para otros servicios y aplicaciones que usan cifrado.
Almacenar la clave de espacio empresarial en azure Key Vault ofrece las siguientes ventajas:
| Ventaja | Descripción |
|---|---|
| Interfaces integradas | Azure Key Vault admite varias interfaces integradas para la administración de claves, como PowerShell, CLI, API de REST y el Azure Portal. Otros servicios y herramientas se han integrado con Key Vault para funcionalidades optimizadas para tareas específicas, como la supervisión. Por ejemplo, analice los registros de uso de claves con análisis de registros de Operations Management Suite, establezca alertas cuando se cumplan los criterios especificados, etc. |
| Separación de roles | Azure Key Vault proporciona la separación de roles como un procedimiento recomendado de seguridad reconocido. La separación de roles garantiza que los administradores de Azure Information Protection puedan centrarse en sus prioridades más altas, incluida la administración de la clasificación y la protección de datos, así como las claves de cifrado y las directivas para requisitos específicos de seguridad o cumplimiento. |
| Ubicación de la tecla principal | Azure Key Vault está disponible en una variedad de ubicaciones y admite organizaciones con restricciones en las que pueden estar las claves maestras. Para obtener más información, consulte la página Productos disponibles por región en el sitio de Azure. |
| Dominios de seguridad separados | Azure Key Vault usa dominios de seguridad independientes para sus centros de datos en regiones como Norteamérica, EMEA (Europa, Oriente Medio y África) y Asia. Azure Key Vault también usa diferentes instancias de Azure, como Microsoft Azure Alemania, y Azure Government. |
| Experiencia unificada | Azure Key Vault también permite a los administradores de seguridad almacenar, acceder y administrar certificados y secretos, como contraseñas, para otros servicios que usan cifrado. El uso de Azure Key Vault para las claves de inquilino proporciona una experiencia de usuario fluida para los administradores que administran todos estos elementos. |
Para obtener las actualizaciones más recientes y conocer cómo otros servicios usan Azure Key Vault, visite el blog del equipo de Azure Key Vault.
Registro de uso de BYOK
Cada aplicación que realiza solicitudes al servicio Azure Rights Management genera registros de uso.
Aunque el registro de uso es opcional, se recomienda usar los registros de uso prácticamente en tiempo real de Azure Information Protection para ver exactamente cómo y cuándo se usa la clave de inquilino.
Para obtener más información sobre el registro de uso de claves para BYOK, vea Registro y análisis del uso de protección de Azure Information Protection.
Propina
Para obtener más garantía, se puede hacer referencia cruzada al registro de uso de Azure Information Protection con el registro de Azure Key Vault. Key Vault registros proporcionan un método confiable para supervisar de forma independiente que su clave solo la usa el servicio Azure Rights Management.
Si es necesario, revoque inmediatamente el acceso a la clave quitando los permisos del almacén de claves.
Opciones para crear y almacenar la clave
Nota
Para obtener más información sobre la oferta de HSM administrados y cómo configurar un almacén y una clave, consulta la documentación de Azure Key Vault.
A continuación se describen instrucciones adicionales sobre cómo conceder la autorización de clave.
BYOK admite claves creadas en Azure Key Vault o local.
Si crea la clave local, debe transferirla o importarla a su Key Vault y configurar Azure Information Protection para usar la clave. Realice cualquier administración de claves adicional desde Azure Key Vault.
Opciones para crear y almacenar su propia clave:
Creado en Azure Key Vault. Crea y almacena tu clave en Azure Key Vault como una clave protegida por HSM o una clave protegida por software.
Creado de forma local. Cree la clave local y transfierala a Azure Key Vault con una de las siguientes opciones:
Clave protegida por HSM, transferida como clave protegida por HSM. El método más típico elegido.
Aunque este método tiene la mayor sobrecarga administrativa, es posible que sea necesario que su organización siga normativas específicas. Los HSM usados por Azure Key Vault se validan con FIPS 140-2 de nivel 2.
Clave protegida por software que se convierte y transfiere a Azure Key Vault como clave protegida por HSM. Este método solo se admite al migrar desde Active Directory Rights Management Services (AD RMS).
Creada localmente como clave protegida por software y transferida a Azure Key Vault como clave protegida por software. Este método requiere un . Archivo de certificado PFX.
Por ejemplo, haga lo siguiente para usar una clave creada localmente:
Genere su clave de inquilino en su local, de conformidad con las directivas de TI y seguridad de su organización. Esta clave es la copia maestra. Permanece en local y se le requiere para su copia de seguridad.
Crea una copia de la clave maestra y transfiéala de forma segura desde el HSM a Azure Key Vault. A lo largo de este proceso, la copia maestra de la clave nunca abandona el límite de protección de hardware.
Una vez transferida, Azure Key Vault protege la copia de la clave.
Exportar el dominio de publicación de confianza
Si alguna vez decide dejar de usar Azure Information Protection, necesitará un dominio de publicación de confianza (TPD) para descifrar el contenido protegido por Azure Information Protection.
Sin embargo, la exportación de TPD no es compatible si usa BYOK para la clave de Information Protection de Azure.
Para prepararse para este escenario, asegúrese de crear un TPD adecuado con antelación. Para obtener más información, consulta Cómo preparar un plan de Azure Information Protection "Salida de la nube".
Implementación de BYOK para su clave de inquilino de Azure Information Protection
Siga estos pasos para implementar BYOK:
- Revisar los requisitos previos de BYOK
- Elegir una ubicación de Key Vault
- Crear y configurar la clave
Requisitos previos para BYOK
Los requisitos previos de BYOK varían según la configuración del sistema. Comprueba que el sistema cumple con los siguientes requisitos previos, según sea necesario:
| Requisito | Descripción |
|---|---|
| Suscripción de Azure | Necesario para todas las configuraciones. Para obtener más información, vea Comprobar que tiene una suscripción de Azure compatible con BYOK. |
| Módulo AIPService PowerShell para Azure Information Protection | Necesario para todas las configuraciones. Para obtener más información, vea Instalar el módulo AIPService PowerShell. |
| Requisitos previos de Azure Key Vault para BYOK | Si usa una clave protegida por HSM creada de forma local, asegúrese de que cumple también los requisitos previos de BYOK enumerados en la documentación de Azure Key Vault. |
| Versión de firmware de Thales 11.62 | Debe tener una versión de firmware de Thales de 11.62 si va a migrar de AD RMS a Azure Information Protection mediante la clave de software a la clave de hardware y está usando el firmware de Thales para su HSM. |
| Omisión del firewall para servicios Microsoft de confianza | Si el almacén de claves que contiene la clave de inquilino usa Virtual Network puntos de conexión de servicio para Azure Key Vault, debe permitir que los servicios microsoft de confianza omitan este firewall. Para obtener más información, consulte Virtual Network puntos de conexión de servicio para Azure Key Vault. |
Comprobar que tiene una suscripción de Azure compatible con BYOK
Su inquilino de Azure Information Protection debe tener una suscripción de Azure. Si aún no tiene una, puede registrarse para obtener una cuenta gratuita. Sin embargo, para usar una clave protegida por HSM, debes tener el nivel de servicio de Azure Key Vault Premium.
La suscripción gratuita de Azure que proporciona acceso a la configuración de Azure Active Directory y a la configuración de plantillas personalizadas de Azure Rights Management no es suficiente para usar Azure Key Vault.
Para confirmar si tiene una suscripción de Azure compatible con BYOK, haga lo siguiente para comprobarlo, usando cmdlets de Azure PowerShell :
Inicie una sesión de Azure PowerShell como administrador.
Inicie sesión como administrador global de su inquilino de Azure Information Protection con
Connect-AzAccount.Copia el token mostrado en el Portapapeles. A continuación, en un explorador, vaya al https://microsoft.com/devicelogin token copiado y escriba el mismo.
Para obtener más información, consulte Iniciar sesión con Azure PowerShell.
En la sesión de PowerShell, escriba
Get-AzSubscriptiony confirme que se muestran los siguientes valores:- El nombre y el id. de la suscripción
- Su id. de inquilino de Azure Information Protection
- Confirmación de que el estado está habilitado
Si no se muestran valores y se le devuelve al mensaje, no tiene una suscripción de Azure que se pueda usar para BYOK.
Elegir la ubicación del almacén de claves
Al crear un almacén de claves para que contenga la clave que se usará como clave de inquilino de Azure Information, debe especificar una ubicación. Esta ubicación es una región de Azure o instancia de Azure.
Elija primero el cumplimiento normativo y, a continuación, para minimizar la latencia de red:
Si ha elegido el método de clave BYOK por motivos de cumplimiento, es posible que esos requisitos de cumplimiento exijan qué región o instancia de Azure se pueden usar para almacenar su clave de inquilino de Azure Information Protection.
Todas las llamadas criptográficas para la cadena de protección a la clave de Information Protection de Azure. Por lo tanto, es posible que desee minimizar la latencia de red que requieren estas llamadas creando su almacén de claves en la misma instancia o región de Azure que su inquilino de Azure Information Protection.
Para identificar la ubicación de su inquilino de Azure Information Protection, use el cmdlet de PowerShell Get-AipServiceConfiguration e identifique la región desde las direcciones URL. Por ejemplo:
LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing
La región es identificable desde rms.na.aadrm.com y, en este ejemplo, está en Norteamérica.
En la tabla siguiente se enumeran las regiones e instancias de Azure recomendadas para minimizar la latencia de red:
| Instancia o región de Azure | Ubicación recomendada para el almacén de claves |
|---|---|
| rms.na.aadrm.com | North Central US o East US |
| rms.eu.aadrm.com | Norte de Europa o Europa occidental |
| rms.ap.aadrm.com | Asia Oriental o sudeste asiático |
| rms.sa.aadrm.com | Oeste de EE. UU. o Este de EE. UU. |
| rms.govus.aadrm.com | Central US o East US 2 |
| rms.aadrm.us | Us Gov Virginia o US Gov Arizona |
| rms.aadrm.cn | China East 2 o China North 2 |
Crear y configurar la clave
Importante
Para obtener información específica para los HSM administrados, consulte Habilitar la autorización de claves para claves HSM administradas a través de la CLI de Azure.
Cree una Key Vault de Azure y la clave que quiera usar para Azure Information Protection. Para obtener más información, consulta la documentación de Azure Key Vault.
Tenga en cuenta lo siguiente para configurar su Key Vault de Azure y la clave de BYOK:
- Requisitos de longitud clave
- Crear una clave protegida por HSM localmente y transferirla a su almacén de claves
- Configuración de Azure Information Protection con su id. de clave
- Autorización del servicio Azure Rights Management para usar la clave
Requisitos de longitud clave
Al crear la clave, asegúrese de que la longitud de la clave sea de 2048 bits (recomendado) o 1024 bits. Azure Information Protection no admite otras longitudes de clave.
Nota
Las claves de 1024 bits no se consideran para ofrecer un nivel adecuado de protección para las claves de inquilino activas.
Microsoft no respalda el uso de longitudes de clave inferiores, como las claves RSA de 1024 bits, ni el uso asociado de protocolos que ofrecen niveles de protección inadecuados, como SHA-1.
Crear una clave protegida por HSM localmente y transferirla a su almacén de claves
Para crear una clave protegida por HSM localmente y transferirla a tu almacén de claves como clave protegida por HSM, sigue los procedimientos de la documentación de Azure Key Vault: Cómo generar y transferir claves protegidas por HSM para Azure Key Vault.
Para que Azure Information Protection use la clave transferida, todas las operaciones de Key Vault deben estar permitidas para la clave, incluidas:
- Cifrar
- Descifrar
- wrapKey
- unwrapKey
- Firmar
- Verificar
De forma predeterminada, se permiten todas las operaciones de Key Vault.
Para comprobar las operaciones permitidas para una clave específica, ejecute el siguiente comando de PowerShell:
(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps
Si es necesario, agregue las operaciones permitidas mediante Update-AzKeyVaultKey y el parámetro KeyOps .
Configuración de Azure Information Protection con su id. de clave
Las claves almacenadas en Azure Key Vault cada una tiene un id. de clave.
El id. de clave es una dirección URL que contiene el nombre del almacén de claves, el contenedor de claves, el nombre de la clave y la versión de la clave. Por ejemplo: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
Configure Azure Information Protection para usar la clave especificando la dirección URL del almacén de claves.
Autorización del servicio Azure Rights Management para usar la clave
El servicio Azure Rights Management debe estar autorizado para usar la clave. Los administradores de Azure Key Vault pueden habilitar esta autorización con la Azure Portal o PowerShell de Azure.
Habilitar la autorización de claves con la Azure Portal
Inicie sesión en el Azure Portal y vaya a Almacén declavessu nombre> del almacén de clavesAgregar directivasAgregar<>>nuevo.>
En el panel Agregar directiva de acceso, en el cuadro de lista Configurar desde plantilla (opcional), seleccione Azure Information Protection BYOK y, a continuación, haga clic en Aceptar.
La plantilla seleccionada tiene la configuración siguiente:
- El valor Seleccionar entidad de seguridad se establece en Microsoft Rights Management Services.
- Los permisos de clave seleccionados incluyen Obtener, Descifrar y Firmar.
Habilitar la autorización de claves con PowerShell
Ejecute el cmdlet de Key Vault PowerShell, Set-AzKeyVaultAccessPolicy, y conceda permisos a la entidad de servicio de Azure Rights Management mediante el GUID 00000012-0000-0000-c000-0000000000000.
Por ejemplo:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Habilitar la autorización de claves para claves de HSM administrados a través de la CLI de Azure
Para conceder al usuario principal del servicio Azure Rights Management permisos de usuario como usuario de Crypto de HSM administrados , ejecute el siguiente comando:
az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee-principal-type ServicePrincipal --assignee https://aadrm.com/ --scope /keys/contosomhskey
Dónde:
- ContosoMHSM es un nombre de HSM de muestra. Al ejecutar este comando, reemplaza este valor por tu propio nombre de HSM.
El rol de usuario usuario de Crypto de HSM administrado permite al usuario descifrar, firmar y obtener permisos de la clave, que son todos necesarios para la funcionalidad de HSM administrados.
Configurar Azure Information Protection para usar la clave
Una vez que haya completado todos los pasos anteriores, estará listo para configurar Azure Information Protection usar esta clave como clave de inquilino de su organización.
Con los cmdlets de Azure RMS, ejecute los siguientes comandos:
Conéctese al servicio Azure Rights Management e inicie sesión:
Connect-AipServiceEjecute el cmdlet Use-AipServiceKeyVaultKey, especificando la dirección URL de la clave. Por ejemplo:
Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"Importante
En este ejemplo,
<key-version>es la versión de la clave que desea usar. Si no especifica la versión, la versión actual de la clave se usa de forma predeterminada y puede parecer que el comando funciona. Sin embargo, si la clave se actualiza o renueva más adelante, el servicio Azure Rights Management dejará de funcionar para su inquilino, incluso si vuelve a ejecutar el comando Use-AipServiceKeyVaultKey .Use el comando Get-AzKeyVaultKey según sea necesario para obtener el número de versión de la clave actual.
Por ejemplo:
Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'Para confirmar que la dirección URL de clave está establecida correctamente para Azure Information Protection, ejecute el comando Get-AzKeyVaultKey en la Key Vault de Azure para mostrar la dirección URL de clave.
Si el servicio Azure Rights Management ya está activado, ejecute Set-AipServiceKeyProperties para indicar a Azure Information Protection que use esta clave como clave de inquilino activa para el servicio Rights Management de Azure.
Azure Information Protection ahora está configurado para usar la clave en lugar de la clave predeterminada creada por Microsoft que se creó automáticamente para su inquilino.
Pasos siguientes
Una vez que haya configurado la protección BYOK, vaya a Introducción a la clave raíz del espacio empresarial para obtener más información sobre el uso y la administración de la clave.