Zarządzane przez klienta: Operacje cyklu życia klucza dzierżawy

Dotyczy: Azure Information Protection, Office 365

Istotne dla programu : Ujednolicony klient etykietowania usługi AIP i klient klasyczny

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Jeśli zarządzasz kluczem dzierżawy dla usługi Azure Information Protection (scenariusz BYOK, Bring Your Own Key), skorzystaj z poniższych sekcji, aby uzyskać więcej informacji na temat operacji cyklu życia, które są istotne dla tej topologii.

Odwołanie klucza dzierżawy

Istnieje niewiele scenariuszy, w których może być konieczne odwołanie klucza zamiast wymiany klucza. Po odwołaniu klucza cała zawartość chroniona przez dzierżawę przy użyciu tego klucza stanie się niedostępna dla wszystkich użytkowników (w tym dla firmy Microsoft, administratorów globalnych i administratorów), chyba że masz kopię zapasową klucza, który można przywrócić. Po odwołaniu klucza nie będzie można chronić nowej zawartości, dopóki nie utworzysz i nie skonfigurujesz nowego klucza dzierżawy na Azure Information Protection.

Aby odwołać klucz dzierżawy zarządzany przez klienta, w usłudze Azure Key Vault zmień uprawnienia do magazynu kluczy zawierającego klucz dzierżawy usługi Azure Information Protection, aby usługa Azure Rights Management nie może już uzyskać dostępu do klucza. Ta akcja skutecznie odwołuje klucz dzierżawy dla Azure Information Protection.

Po anulowaniu subskrypcji usługi Azure Information Protection usługa ta wstrzymuje korzystanie z klucza dzierżawy, co nie wymaga żadnej akcji ze strony użytkownika.

Wymiana klucza dzierżawy

Wymiana klucza jest także określana jako uaktualnianie klucza. W przypadku tej operacji program Azure Information Protection używać istniejącego klucza dzierżawy do ochrony dokumentów i wiadomości e-mail i zaczyna używać innego klucza. Zasady i szablony są natychmiast ponownie podpisywani, ale ta zmiana jest stopniowa dla istniejących klientów i usług korzystających z Azure Information Protection. W związku z tym przez pewien czas część nowej zawartości jest nadal chroniona przy użyciu starego klucza dzierżawy.

Aby ponownie użyć klucza, należy skonfigurować obiekt klucza dzierżawy i określić klucz alternatywny do użycia. Następnie wcześniej używany klucz jest automatycznie oznaczany jako zarchiwizowane na Azure Information Protection. Ta konfiguracja zapewnia, że zawartość chroniona przy użyciu tego klucza pozostanie dostępna.

Przykłady sytuacji, w których może być konieczne ponowne klucza dla Azure Information Protection:

  • Firma została podzielona na dwie lub więcej firm. Po wymianie klucza dzierżawy nowa firma nie będzie miała dostępu do nowej zawartości publikowanej przez pracowników. Mogą oni uzyskać dostęp do starej zawartości, jeśli dysponują kopią starego klucza dzierżawy.

  • Chcesz przejść z jednej topologii zarządzania kluczami do innej.

  • Uważasz, że kopia główna klucza dzierżawy (kopia w Twoim posiadaniu) jest naruszona.

Aby zmienić klucz na inny klucz, który zarządzasz, możesz utworzyć nowy klucz w programie Azure Key Vault lub użyć innego klucza, który znajduje się już w Azure Key Vault. Następnie wykonaj te same procedury co w celu zaimplementowania rozwiązania BYOK dla Azure Information Protection.

  1. Tylko wtedy, gdy nowy klucz znajduje się w innym magazynie kluczy niż ten, który jest już Azure Information Protection: autoryzowanie usługi Azure Information Protection do korzystania z magazynu kluczy za pomocą polecenia cmdlet Set-AzKeyVaultAccessPolicy.

  2. Jeśli Azure Information Protection jeszcze nie wie o kluczu, którego chcesz użyć, uruchom polecenie cmdlet Use-AipServiceKeyVaultKey.

  3. Skonfiguruj obiekt klucza dzierżawy za pomocą polecenia cmdlet Set-AipServiceKeyProperties.

Aby uzyskać więcej informacji na temat każdego z tych kroków:

  • Aby ponownie wykluczyć klucz do innego klucza, który zarządzasz, zobacz Planowanie i wdrażanie klucza Azure Information Protection dzierżawy.

    W przypadku wymiany klucza chronionego przez moduł HSM, który jest tworzyć lokalnie i transferować do programu Key Vault, można użyć tego samego świata zabezpieczeń i kart dostępu, które zostały użyte dla bieżącego klucza.

  • Aby zmienić klucz na klucz zarządzany przez firmę Microsoft, zobacz sekcję Wymiana klucza dzierżawy dla operacji zarządzanych przez firmę Microsoft.

Tworzenie kopii zapasowej i odzyskiwanie klucza dzierżawy

Ponieważ zarządzasz kluczem dzierżawy, odpowiadasz za kopię zapasową klucza używanego Azure Information Protection dzierżawy.

Jeśli klucz dzierżawy został wygenerowany lokalnie, w nCipher HSM: aby tworzyć kopię zapasową klucza, należy tworzyć kopię zapasową pliku klucza tokenizowanego, pliku świata i kart administratora. Podczas przenoszenia klucza do usługi Azure Key Vault zapisuje tokenizowany plik klucza w celu ochrony przed awarią jakichkolwiek węzłów usługi. Ten plik jest powiązany ze środowiskiem zabezpieczeń dla konkretnego regionu lub wystąpienia platformy Azure. Nie należy jednak uznać tego pliku klucza tokenizowanego za pełną kopię zapasową. Jeśli na przykład potrzebujesz kopii klucza w postaci zwykłego tekstu do użycia poza modułem HSM nCipher, program Azure Key Vault nie będzie mógł go pobrać, ponieważ ma tylko kopię, która nie może zostać odzyskana.

Azure Key Vault polecenie cmdlet do tworzenia kopii zapasowej, za pomocą których można utworzyć kopię zapasową klucza, pobierając go i przechowując w pliku. Ponieważ pobrana zawartość jest zaszyfrowana, nie można jej używać poza Azure Key Vault.

Eksport klucza dzierżawy

W przypadku korzystania z rozwiązania BYOK nie można wyeksportować klucza dzierżawy ani z usługi Azure Key Vault, ani z usługi Azure Information Protection. Przywrócenie kopii klucza znajdującej się w usłudze Azure Key Vault nie jest możliwe.

Reakcja na naruszenie zabezpieczeń

Żaden system zabezpieczeń, niezależnie od jego siły, nie jest kompletny bez procedur reakcji na naruszenie zabezpieczeń. Klucz dzierżawy może zostać naruszony lub skradziony. Nawet wtedy, gdy jest ona dobrze chroniona, luki w zabezpieczeniach można znaleźć w technologii kluczy bieżącej generacji lub w bieżących długościach kluczy i algorytmach.

Firma Microsoft ma dedykowany zespół, który reaguje na przypadki naruszenia zabezpieczeń produktów i usług. Bezpośrednio po uzyskaniu wiarygodnego raportu o incydencie zespół ten bada jego zakres, przyczynę i środki naprawcze. Jeśli to zdarzenie ma wpływ na zasoby, firma Microsoft powiadamia administratorów globalnych dzierżawy pocztą e-mail.

W przypadku naruszenia zabezpieczeń najlepsze działanie, które może podjąć użytkownik lub firma Microsoft, jest zależne od zakresu naruszenia. Firma Microsoft zapewnia wsparcie w tym procesie. Poniższa tabela przedstawia typowe sytuacje i prawdopodobne reakcje, choć dokładna reakcja jest zależna od informacji uzyskanych w trakcie badania.

Opis zdarzenia Prawdopodobna reakcja
Przeciek klucza dzierżawy. Wymień klucz dzierżawy. Zobacz Temat Rekey your tenant key (Wymusz klucz dzierżawy).
Nieautoryzowana osoba lub złośliwe oprogramowanie uzyskało uprawnienia do korzystania z klucza dzierżawy, ale nie nastąpił przeciek samego klucza. Wymiana klucza dzierżawy nie jest w tym przypadku pomocna, a problem wymaga analizy przyczyny. Jeśli za uzyskanie dostępu przez nieautoryzowaną osobę odpowiada proces lub błąd oprogramowania, sytuację należy rozwiązać.
Odkryto lukę w zabezpieczeniach obecnej generacji technologii sprzętowych modułów zabezpieczeń. Firma Microsoft musi zaktualizować sprzętowe moduły zabezpieczeń. Jeśli istnieje powód, aby uważać, że luka w zabezpieczeniach ujawniono klucze, firma Microsoft poinstruuje wszystkich klientów o potrzebie ponownego klucza dzierżawy.
Odkryto lukę w zabezpieczeniach algorytmu RSA lub długości klucza albo ataki siłowe stały się wykonalne. Firma Microsoft musi zaktualizować Azure Key Vault lub Azure Information Protection w celu obsługi nowych algorytmów i dłuższych kluczy o odporność oraz poinstruować wszystkich klientów o potrzebie ponownego klucza dzierżawy.