Ügyfél által kezelt: A bérlő kulcs életciklusának műveletei

A következőre vonatkozik:Azure Information Protection, Office 365

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

Ha ön kezeli az Azure Information Protection bérlői kulcsát (a saját kulcsát hozza magával, vagy BYOK eset), az alábbi szakaszokban további információkat is lehethet az adott topológia szempontjából releváns életciklus-műveletekről.

Bérlői kulcs visszavonása

Nagyon kevés esetben lehet szükség a kulcs visszavonására az újrakulcsolás helyett. Amikor visszavonja a termékkulcsot, a bérlő által a kulcsot használó összes tartalom elérhetetlenné válik mindenki (beleértve a Microsoftot, a globális rendszergazdákat és a rendszergazdai felhasználókat), hacsak nincs biztonsági másolata a visszaállítható kulcsról. A termékkulcs megfordítása után mindaddig nem fogja tudni védeni az új tartalmakat, amíg nem hoz létre és nem konfigurál egy új bérlői kulcsot az Azure Information Protection számára.

Az ügyfél által kezelt bérlői kulcs visszavonásához az Azure Kulcstárban módosítsa az Azure Information Protection bérlői kulcsát tartalmazó kulcstár engedélyét, hogy az Azure Tartalomvédelmi szolgáltatások szolgáltatás többé ne tudja elérni a kulcsot. Ez a művelet gyakorlatilag visszavonja az Azure Information Protection bérlői kulcsát.

Amikor lemondja előfizetését az Azure Information Protection szolgáltatáshoz, az Azure Information Protection többé nem használja a bérlő kulcsát, és Önnek nincs semmilyen teendője.

A bérlő kulcsának újrakulcsa

Az újrakulcsolást a kulcs elgördülésének is nevezik. A művelet során az Azure Information Protection a meglévő bérlői kulcsot már nem használja a dokumentumok és e-mailek védelmére, és egy másik kulcsot kezd használni. A házirendek és sablonok azonnal használatbavétele azonnal megkezdődik, de ez a módosítás fokozatosan lép létezik az Azure Information Protectiont használó meglévő ügyfelek és szolgáltatások esetében. Egy ideig tehát bizonyos új tartalmak továbbra is a régi bérlői kulccsal vannak védve.

Az újrakulcshoz konfigurálnia kell a bérlő kulcsobjektumát, és meg kell adnia a használni kívánt alternatív kulcsot. Ezután a korábban használt kulcsot a rendszer automatikusan archiváltként jelöli meg az Azure Information Protection számára. Ez a konfiguráció gondoskodik arról, hogy az ezzel a kulccsal védett tartalmak elérhetők legyenek.

Példák arra, hogy mikor lehet szükség az Azure Information Protection újrakulcsának használatára:

  • A vállalata két vagy több cégre oszlik. Amikor újrakulcsot ad a bérlői kulcshoz, az új cégnek nem lesz hozzáférése az alkalmazottai által közzétett új tartalmakhoz. Hozzáférhetnek a régi tartalomhoz, ha a régi bérlői kulcs másolatával rendelkezik.

  • Egyik fő felügyeleti topológiáról a másikra szeretne lépni.

  • Úgy véli, hogy a bérlői kulcs (az Ön birtokában lévő példány) fő példányát feltörték.

Ha egy másik Ön által felügyelt kulcshoz kulcsra van kulcsa, létrehozhat egy új kulcsot az Azure kulcstárban, vagy használhat egy másik kulcsot, amely már az Azure kulcstárban van. Ezután kövesse a BYOK for Azure Information Protection implementálja ugyanezeket az eljárásokat.

  1. Csak akkor, ha az új kulcs az Azure Information Protectionhez használt másik kulcstárban található: Engedélyezze az Azure Information Protectiont a kulcstár használatára a Set-AzKeyVaultAccessPolicy parancsmag használatával.

  2. Ha az Azure Information Protection még nem ismeri a használni kívánt kulcsot, futtassa a Use-AipServiceKeyVaultKey parancsmagot.

  3. Konfigurálja a bérlő kulcsobjektumát a Set-AipServiceKeyProperties parancsmag futtatásával.

További információ az egyes lépésekről:

  • Ha másik Ön által kezelet kulcsra van kulcsa, tekintse meg Az Azure Information Protection bérlői kulcsának megtervezése és megvalósítása.

    Ha egy HSM-védelem alatt lévő, a helyszínen létrehozott és a kulcstárba áthozott kulcsot ad vissza, ugyanazt a biztonsági világot és hozzáférési kártyákat használhatja, mint a jelenlegi kulcshoz.

  • Ha újrakulcsot keres, a Microsoft által kezelt kulcsra váltva, a Microsoft által kezelt műveletekről A bérlő kulcsának újrakulcsa című szakaszban rendelkezik.

A bérlő kulcsának biztonsági mentése és helyreállítása

Mivel Ön kezeli a bérlői kulcsot, az Ön feladata az Azure Information Protection által használt kulcs biztonsági védelme.

Ha a bérlő kulcsát a helyszínen, egy nCipher HSM-ben generálta: A kulcs biztonsági mentésekor biztonsági mentésekor biztonsági mentése a tokenizált kulcsfájlról, a világfájlról és a rendszergazdai kártyákról. A kulcs Azure-kulcstárba való átvitelekor a szolgáltatás menti a jogkivonatos kulcsfájlt, hogy megvédje a szolgáltatáscsomópontok sikertelenségét. Ez a fájl az adott Azure-régió vagy -példány biztonsági világához van kötve. Ezt a jogkivonatos kulcsfájlt azonban ne tekintse teljes biztonsági másolatnak. Ha például egy nCipher HSM-kódon kívül is szüksége van a kulcs egyszerű szöveges másolatára, az Azure kulcstár nem tudja beolvasni azt, mert csak egy nem helyreállítható példánya van.

Az Azure kulcstár egy biztonságimásolat-parancsmagot is használ a kulcs biztonsági mentéséhez letöltésével és egy fájlba mentésével. Mivel a letöltött tartalom titkosítva van, nem használható az Azure kulcstárán kívül.

A bérlő kulcsának exportálása

A BYOK használata esetén nem tudja exportálni a bérlő kulcsát az Azure-kulcstárból vagy az Azure Information Protectionből. Az Azure Kulcstárban tárolt példány nem állítható helyre.

Válasz visszaélésre

Bármilyen erős is a biztonsági rendszer, nem szükséges szabálysértéseket végrehajtani. Előfordulhat, hogy feltörték vagy ellopják a bérlő kulcsát. Még ha megfelelő védelmet is nyújt, a biztonsági rések a jelenlegi generációs kulcsfontosságú technológiákban, illetve a jelenlegi kulcshosszban és algoritmusban is előfordulhatnak.

A Microsoft egy dedikált csapattal rendelkezik, amely a termékeiben és szolgáltatásaiban bevetve reagál a biztonsági incidensekre. Amint megbízható jelentés készíthető egy incidensről, a csoport megvizsgálja a hatókört, a kiváltó okot és a megoldásokat. Ha ez az incidens az Ön eszközeit érinti, a Microsoft e-mailben értesíti a bérlő globális rendszergazdáit.

A visszaélés esetén az Ön vagy a Microsoft által a lehető legnagyobb mértékben a visszaélés hatókörétől függ; A Microsoft dolgozik Majd Ön is ezen a folyamaton. Az alábbi táblázatban néhány tipikus helyzet és a valószínű válasz látható, bár a pontos válasz minden, a vizsgálat során feltárt információtól függ.

Esetleírás Valószínű válasz
Kiszivárgást kapott a bérlő kulcsa. A bérlő kulcsának újrakulcsa. Lásd: Bérlői kulcs kulcsának újrakulcsa.
Egy jogosulatlan személy vagy kártevő jogosult a bérlő kulcsának használatára, de maga a kulcs nem szivárgást ki. A bérlői kulcs újrakulcsolása nem segít itt, és a gyökök elemzésére van szükség. Ha egy folyamat vagy szoftverhiba felelős volt a jogosulatlan személyek hozzáféréséért, az adott helyzetet meg kell oldani.
A biztonsági rés a legújabb generációs HSM-technológia által felfedezett. A Microsoftnak frissítenie kell a HSM-eket. Ha okkal véli, hogy a biztonsági rés által elérhetővé tért kulcsok, a Microsoft minden ügyféltől arra fogja utasítni a bérlői kulcs kulcsának újrakulcsát.
Az RSA-algoritmusban felfedezett biztonsági rés, a kulcs hossza, illetve a találgatásos támadás nagy hatótűnést okozhat. A Microsoftnak frissítenie kell az Azure-kulcstárat vagy az Azure Information Protectiont, hogy támogassa az új algoritmusokat és a hosszabb kulcshosszú, ellenálló funkciókat, és utasítsa az összes ügyfelet, hogy a bérlő kulcsának újrakulcsát kérje.