Inaktív Felhőhöz készült Defender-alkalmazások adatainak titkosítása saját kulccsal (BYOK)

Cikk
04/15/2024

Ez a cikk azt ismerteti, hogyan konfigurálhatja a Felhőhöz készült Defender-alkalmazásokat úgy, hogy a saját kulcsával titkosítsa az összegyűjtött adatokat, miközben azok inaktív állapotban vannak. Ha a felhőalkalmazásokban tárolt adatok titkosításának alkalmazásával kapcsolatos dokumentációt keres, tekintse meg a Microsoft Purview integrációját.

Felhőhöz készült Defender Alkalmazások komolyan veszi a biztonságot és az adatvédelmet. Ezért miután Felhőhöz készült Defender Alkalmazások megkezdik az adatok gyűjtését, a saját felügyelt kulcsait használja az adatok védelmére az adatbiztonsági és adatvédelmi szabályzatunknak megfelelően. Emellett a Felhőhöz készült Defender-alkalmazások lehetővé teszik az inaktív adatok további védelmét azáltal, hogy saját Azure Key Vault-kulccsal titkosítja őket.

Fontos

Ez az eljárás csak a Microsoft Defender portálon érhető el, és nem hajtható végre a klasszikus Felhőhöz készült Microsoft Defender Alkalmazások portálon.

Előfeltételek

Regisztrálnia kell a Felhőhöz készült Microsoft Defender Apps - BYOK alkalmazást a bérlő Microsoft Entra-azonosítójában, amely a Felhőhöz készült Defender Apps-bérlőhöz van társítva.

Az alkalmazás regisztrálása

Telepítse a Microsoft Graph PowerShellt.

Nyisson meg egy PowerShell-terminált, és futtassa a következő parancsokat:

Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

Ahol a ServicePrincipalId az előző parancs (New-MgServicePrincipal) által visszaadott azonosító.

Feljegyzés

Felhőhöz készült Defender Alkalmazások az összes új bérlő inaktív adatait titkosítják.
A Felhőhöz készült Defender-alkalmazásokban 48 óránál hosszabb ideig tárolt adatok titkosítva lesznek.

Az Azure Key Vault-kulcs üzembe helyezése

Hozzon létre egy új Key Vaultot a helyreállítható törlési és törlési védelmi lehetőségekkel.
Az új generált Key Vaultban nyissa meg az Access-szabályzatok panelt, majd válassza a +Hozzáférési szabályzat hozzáadása lehetőséget.
1. Válassza a Kulcsengedélyek lehetőséget , és válassza ki a következő engedélyeket a legördülő menüből:
  
  Section Szükséges engedélyek
  
  Kulcskezelési műveletek -Lista
  
  Kriptográfiai műveletek - Wrap key
  - Kulcs kibontása
2. Az Egyszerű kiválasztása csoportban válassza az Felhőhöz készült Microsoft Defender Alkalmazások – BYOK vagy Microsoft Felhőappbiztonság – BYOK lehetőséget.
3. Válassza a Mentés lehetőséget.
Hozzon létre egy új RSA-kulcsot , és tegye a következőket:

Feljegyzés

Csak az RSA-kulcsok támogatottak.
1. A kulcs létrehozása után válassza ki az új generált kulcsot, válassza ki az aktuális verziót, majd megjelenik az Engedélyezett műveletek.
2. Az Engedélyezett műveletek területen győződjön meg arról, hogy a következő beállítások engedélyezve vannak:
  - Kulcs becsomagolása
  - Kulcs kicsomagolása
3. Másolja ki a kulcsazonosító URI-jának másolatát. Erre később még szüksége lesz.
Ha tűzfalat használ egy kiválasztott hálózathoz, konfigurálja a következő tűzfalbeállításokat, hogy hozzáférést biztosítson Felhőhöz készült Defender Alkalmazásoknak a megadott kulcshoz, majd kattintson a Mentés gombra:
1. Győződjön meg arról, hogy nincsenek kijelölve virtuális hálózatok.
2. Adja hozzá a következő IP-címeket:
  - 13.66.200.132
  - 23.100.71.251
  - 40.78.82.214
  - 51.105.4.145
  - 52.166.166.111
  - 13.72.32.204
  - 52.244.79.38
  - 52.227.8.45
3. Válassza a Megbízható Microsoft-szolgáltatások engedélyezése lehetőséget a tűzfal megkerüléséhez.

Section	Szükséges engedélyek
Kulcskezelési műveletek	-Lista
Kriptográfiai műveletek	- Wrap key - Kulcs kibontása

Adattitkosítás engedélyezése az Felhőhöz készült Defender-alkalmazásokban

Amikor engedélyezi az adattitkosítást, az Felhőhöz készült Defender Apps azonnal az Azure Key Vault-kulcs használatával titkosítja az inaktív adatokat. Mivel a kulcs elengedhetetlen a titkosítási folyamathoz, fontos, hogy a kijelölt Key Vault és kulcs mindig elérhető legyen.

Adattitkosítás engedélyezése

A Microosft Defender portálon válassza Gépház > Cloud Apps-adattitkosítás > engedélyezése adattitkosítás >engedélyezése lehetőséget.
Az Azure Key Vault kulcs URI mezőjébe illessze be a korábban másolt kulcsazonosító URI-értékét. Felhőhöz készült Defender Alkalmazások mindig a legújabb kulcsverziót használják, függetlenül az URI által megadott kulcsverziótól.
Miután az URI-ellenőrzés befejeződött, válassza az Engedélyezés lehetőséget.

Feljegyzés

Ha letiltja az adattitkosítást, a Felhőhöz készült Defender Apps eltávolítja a titkosítást a saját kulccsal a inaktív adatokból. Az adatok azonban titkosítva maradnak Felhőhöz készült Defender Apps által felügyelt kulcsokkal.

Az adattitkosítás letiltásához lépjen az Adattitkosítás lapra, és kattintson az Adattitkosítás letiltása elemre.

Kulcstekercs kezelése

Amikor az adattitkosításhoz konfigurált kulcs új verzióit hozza létre, a Felhőhöz készült Defender Apps automatikusan a kulcs legújabb verziójára gördül.

Adattitkosítási hibák kezelése

Ha probléma merül fel az Azure Key Vault-kulcs elérésekor, Felhőhöz készült Defender Alkalmazások nem titkosítják az adatokat, és a bérlő egy órán belül zárolva lesz. Ha a bérlő zárolva van, az összes hozzáférése le lesz tiltva, amíg az ok meg nem szűnik. Ha a kulcs ismét elérhető, a rendszer visszaállítja a bérlő teljes hozzáférését. Az adattitkosítási hibák kezelésével kapcsolatos információkért tekintse meg a saját kulccsal történő adattitkosítás hibaelhárítását ismertető témakört.

Megosztás a következőn keresztül: