Управляемые клиентом операции жизненного цикла ключа клиента

  • Статья

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Новый клиент Microsoft Information Protection (без надстройки) в настоящее время находится в предварительной версии и планируется для общедоступной доступности.

Если вы управляете ключом клиента для Azure Information Protection (приведем собственный ключ или BYOK, сценарий), используйте следующие разделы для получения дополнительных сведений об операциях жизненного цикла, относящихся к этой топологии.

Отзыв ключа клиента

Существует очень мало сценариев, когда может потребоваться отозвать ключ вместо повторного ключа. При отмене ключа все содержимое, защищенное клиентом с помощью этого ключа, станет недоступным для всех (включая Майкрософт, глобальных администраторов и суперпользователей), если вы не сможете восстановить ключ. После отзыва ключа вы не сможете защитить новое содержимое, пока не создадите и не настроите новый ключ клиента для Azure Information Protection.

Чтобы отозвать ключ клиента, управляемый клиентом, в Azure Key Vault измените разрешения на хранилище ключей, содержащее ключ клиента Azure Information Protection, чтобы служба Azure Rights Management больше не смогла получить доступ к ключу. Это действие фактически отменяет ключ клиента для Azure Information Protection.

При отмене подписки azure Information Protection Azure Information Protection перестает использовать ключ клиента и от вас не требуется никаких действий.

Повторное создание ключа клиента

Переключение также называется сменой ключа. При выполнении этой операции Azure Information Protection перестает использовать существующий ключ клиента для защиты документов и сообщений электронной почты и начинает использовать другой ключ. Политики и шаблоны немедленно ушел в отставку, но эта смена постепенно выполняется для существующих клиентов и служб с помощью Azure Information Protection. Поэтому в течение некоторого времени некоторые новые материалы продолжают защищаться с помощью старого ключа клиента.

Чтобы переключить ключ, необходимо настроить объект ключа клиента и указать альтернативный ключ для использования. Затем ранее используемый ключ автоматически помечается как архивированный для Azure Information Protection. Эта конфигурация гарантирует, что содержимое, защищенное с помощью этого ключа, остается доступным.

Примеры необходимости повторного ключа для Azure Information Protection:

  • Ваша компания разделена на две или более компаний. При повторном создании ключа клиента новая компания не будет иметь доступа к новому содержимому, которое публикуют сотрудники. Они могут получить доступ к старому содержимому, если у них есть копия старого ключа клиента.

  • Вы хотите перейти из одной топологии управления ключами в другую.

  • Вы считаете, что основная копия ключа клиента (копия в вашем распоряжении) скомпрометирована.

Для повторного доступа к другому ключу, который вы управляете, можно создать новый ключ в Azure Key Vault или использовать другой ключ, который уже находится в Azure Key Vault. Затем выполните те же процедуры, которые вы сделали для реализации BYOK для Azure Information Protection.

  1. Только если новый ключ находится в другом хранилище ключей, который уже используется для Azure Information Protection: авторизация Azure Information Protection для использования хранилища ключей с помощью командлета Set-AzKeyVaultAccessPolicy .

  2. Если Azure Information Protection еще не знает о ключе, который вы хотите использовать, выполните командлет Use-AipServiceKeyVaultKey .

  3. Настройте объект ключа клиента с помощью командлета Set-AipServiceKeyProperties .

Дополнительные сведения о каждом из следующих шагов:

  • Чтобы вернуться к другому ключу, который вы управляете, см. статью "Планирование и реализация ключа клиента Azure Information Protection".

    Если вы повторно создаете защищенный HSM ключ, который вы создаете локально и передаете в Key Vault, вы можете использовать тот же мир безопасности и доступ к карта, что и для текущего ключа.

  • Чтобы повторно создать ключ, перейдите к ключу, управляемому корпорацией Майкрософт, см . раздел "Повторное использование ключа клиента" для операций, управляемых Корпорацией Майкрософт.

Резервное копирование и восстановление ключа клиента

Так как вы управляете ключом клиента, вы несете ответственность за резервное копирование ключа, который использует Azure Information Protection.

Если вы создали ключ клиента в локальной среде, в NCipher HSM: чтобы создать резервную копию ключа, создайте резервную копию файла маркеризованного ключа, файла мира и администратора карта. При передаче ключа в Azure Key Vault служба сохраняет маркеризованный файл ключа, чтобы защититься от сбоя узлов службы. Этот файл привязан к миру безопасности для конкретного региона Или экземпляра Azure. Однако не учитывайте, что этот маркеризованный файл ключа является полной резервной копией. Например, если вам когда-либо нужна копия открытого текста ключа для использования за пределами NCipher HSM, Azure Key Vault не может получить его для вас, так как он имеет только невосстановимую копию.

В Azure Key Vault есть командлет резервного копирования, который можно использовать для резервного копирования ключа, скачав его и сохраняя его в файле. Так как скачанный контент зашифрован, его нельзя использовать за пределами Azure Key Vault.

Экспорт ключа клиента

Если вы используете BYOK, вы не можете экспортировать ключ клиента из Azure Key Vault или Azure Information Protection. Копия в Azure Key Vault не восстанавливается.

Реагирование на нарушение

Никакой системы безопасности, независимо от того, насколько сильно, завершен без процесса реагирования на нарушения. Ключ клиента может быть скомпрометирован или украден. Даже если она защищена хорошо, уязвимости могут находиться в технологии ключа текущего поколения или в текущих длинах ключей и алгоритмах.

Корпорация Майкрософт имеет выделенную команду для реагирования на инциденты безопасности в своих продуктах и службах. Как только есть достоверный доклад об инциденте, эта группа занимается расследованием область, первопричин и устранения рисков. Если этот инцидент влияет на ресурсы, корпорация Майкрософт уведомляет глобальных администраторов клиента по электронной почте.

Если у вас есть нарушение, лучшее действие, которое вы или корпорация Майкрософт можете предпринять, зависит от область нарушения; Корпорация Майкрософт будет работать с вами в рамках этого процесса. В следующей таблице показаны некоторые типичные ситуации и вероятный ответ, хотя точный ответ зависит от всех сведений, выявленных во время расследования.

Описание инцидента Вероятный ответ
Ключ клиента утечка. Повторное создание ключа клиента. См . раздел "Повторное использование ключа клиента".
Несанкционированный пользователь или вредоносные программы получили права на использование ключа клиента, но сам ключ не утечки. Повторное определение ключа клиента не помогает здесь и требует анализа первопричин. Если процесс или ошибка программного обеспечения несет ответственность за несанкционированный доступ человека, эта ситуация должна быть устранена.
Уязвимость обнаружена в технологии HSM текущего поколения. Корпорация Майкрософт должна обновить HSM. Если есть основания полагать, что уязвимости, предоставляемые ключами, корпорация Майкрософт будет поручать всем клиентам повторно использовать ключи клиента.
Уязвимость, обнаруженная в алгоритме RSA или длине ключа, или атаки методом подбора становятся вычислительными средствами. Корпорация Майкрософт должна обновить Azure Key Vault или Azure Information Protection, чтобы поддерживать новые алгоритмы и длину ключей, которые устойчивы, и поручить всем клиентам повторно использовать ключ клиента.