Merencanakan dan menerapkan kunci penyewa Perlindungan Informasi Azure Anda

Catatan

Apakah Anda mencari Microsoft Information Protection? Klien pelabelan terpadu Microsoft Azure Information Protection saat ini dalam mode pemeliharaan. Sebaiknya mengaktifkan pelabelan bawaan Microsoft Information Protection untuk aplikasi Office 365 Anda. Pelajari selengkapnya.

Kunci penyewa Azure Information Protection adalah kunci akar untuk organisasi Anda. Kunci lain dapat berasal dari kunci akar ini, termasuk kunci pengguna, kunci komputer, atau kunci enkripsi dokumen. Setiap kali Azure Information Protection menggunakan kunci ini untuk organisasi Anda, mereka secara kriptografis merantai ke kunci penyewa akar Azure Information Protection Anda.

Selain kunci akar penyewa Anda, organisasi Anda mungkin memerlukan keamanan lokal untuk dokumen tertentu. Perlindungan kunci lokal biasanya diperlukan hanya untuk sejumlah kecil konten, dan oleh karena itu dikonfigurasi bersama dengan kunci akar penyewa.

Jenis kunci Azure Information Protection

Kunci akar penyewa Anda dapat berupa:

• Dihasilkan oleh Microsoft
• Dihasilkan oleh pelanggan dengan perlindungan Bring Your Own Key (BYOK ).

Jika Anda memiliki konten yang sangat sensitif yang memerlukan perlindungan lokal tambahan, sebaiknya gunakan Enkripsi Kunci Ganda (DKE).

Kunci akar penyewa yang dihasilkan oleh Microsoft

Kunci default, yang dibuat secara otomatis oleh Microsoft, adalah kunci default yang digunakan secara eksklusif untuk Azure Information Protection untuk mengelola sebagian besar aspek siklus hidup kunci penyewa Anda.

Lanjutkan menggunakan kunci Microsoft default saat Anda ingin menyebarkan Azure Information Protection dengan cepat dan tanpa perangkat keras, perangkat lunak, atau langganan Azure khusus. Contohnya termasuk lingkungan pengujian atau organisasi tanpa persyaratan peraturan untuk manajemen kunci.

Untuk kunci default, tidak ada langkah lebih lanjut yang diperlukan, dan Anda dapat langsung masuk ke Memulai kunci akar penyewa Anda.

Catatan

Kunci default yang dihasilkan oleh Microsoft adalah opsi paling sederhana dengan overhead administratif terendah.

Dalam kebanyakan kasus, Anda bahkan mungkin tidak tahu bahwa Anda memiliki kunci penyewa, karena Anda dapat mendaftar ke Azure Information Protection dan sisa proses manajemen kunci ditangani oleh Microsoft.

Perlindungan Bring Your Own Key (BYOK)

Perlindungan BYOK menggunakan kunci yang dibuat oleh pelanggan, baik di azure Key Vault atau lokal di organisasi pelanggan. Kunci ini kemudian ditransfer ke Azure Key Vault untuk manajemen lebih lanjut.

Gunakan BYOK saat organisasi Anda memiliki peraturan kepatuhan untuk pembuatan kunci, termasuk kontrol atas semua operasi siklus hidup. Misalnya, ketika kunci Anda harus dilindungi oleh modul keamanan perangkat keras.

Untuk informasi selengkapnya, lihat Mengonfigurasi perlindungan BYOK.

Setelah dikonfigurasi, lanjutkan ke Mulai menggunakan kunci akar penyewa Anda untuk informasi selengkapnya tentang menggunakan dan mengelola kunci Anda.

Enkripsi Kunci Ganda (DKE)

Perlindungan DKE memberikan keamanan tambahan untuk konten Anda dengan menggunakan dua kunci: satu dibuat dan dipegang oleh Microsoft di Azure, dan yang lain dibuat dan disimpan secara lokal oleh pelanggan.

DKE memerlukan kedua kunci untuk mengakses konten yang dilindungi, memastikan bahwa Microsoft dan pihak ketiga lainnya tidak pernah memiliki akses ke data yang dilindungi sendiri.

DKE dapat disebarkan baik di cloud atau lokal, memberikan fleksibilitas penuh untuk lokasi penyimpanan.

Gunakan DKE saat organisasi Anda:

• Ingin memastikan bahwa hanya mereka yang dapat mendekripsi konten yang dilindungi, dalam semua keadaan.
• Tidak ingin Microsoft memiliki akses ke data yang dilindungi sendiri.
• Memiliki persyaratan peraturan untuk menyimpan kunci dalam batas geografis. Dengan DKE, kunci yang disimpan pelanggan dipertahankan dalam pusat data pelanggan.

Catatan

DKE mirip dengan brankas yang memerlukan kunci bank dan kunci pelanggan untuk mendapatkan akses. Perlindungan DKE memerlukan kunci yang disimpan Microsoft dan kunci yang disimpan pelanggan untuk mendekripsi konten yang dilindungi.

Untuk informasi selengkapnya, lihat Enkripsi kunci ganda dalam dokumentasi Microsoft 365.

Langkah berikutnya

Lihat salah satu artikel berikut untuk detail selengkapnya tentang jenis kunci tertentu:

• Mulai menggunakan kunci akar penyewa
• Membawa detail kunci Anda sendiri (BYOK) untuk Azure Information Protection
• Enkripsi Kunci Ganda Microsoft Purview

Jika Anda bermigrasi di seluruh penyewa, seperti setelah merger perusahaan, kami sarankan Anda membaca posting blog kami di merger dan spinoff untuk informasi lebih lanjut.