Azure Information Protection kiracı anahtarınızı planlama ve uygulama

Uygulama: Azure Information Protection

için uygun: AIP birleşik etiketleme istemcisi ve klasik istemci

Not

Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure portalındaki Azure Information Protection Klasik istemci ve etiket yönetimi 31 Mart 2021 itibarıyla kullanım dışıdır . Klasik istemci yapılandırıldığı şekilde çalışmaya devam ederken, başka bir destek sağlanmaz ve artık klasik istemci için bakım sürümleri yayınlanmayacaktır.

Birleşik etiketlemeye geçiş yapmanızı ve Birleşik etiketleme istemcisineyükseltmenizi öneririz. Son kullanımdan kaldırma blogumuzhakkında daha fazla bilgi edinin.

Kiracı Azure Information Protection anahtarı, kurum için bir kök anahtardır. Kullanıcı anahtarları, bilgisayar anahtarları veya belge şifreleme anahtarları gibi diğer anahtarlar bu kök anahtardan türetebilirsiniz. Bu Azure Information Protection her kuruluş için kullandığında, şifrelemeyle bu anahtarları Azure Information Protection kiracı anahtarınıza zincirler.

Kiracı kök anahtarınıza ek olarak, belirli belgeler için kuruluş içi güvenlik de gerekli olabilir. Şirket içi anahtar koruması genellikle yalnızca az miktarda içerik için gereklidir ve bu nedenle kiracı kök anahtarıyla birlikte yapılandırılır.

Azure Information Protection anahtar türleri

Kiracı kök anahtarınız şu olabilir:

Ek, şirket içi koruma gerektiren son derece hassas içeriğiniz varsa, Çift Anahtar Şifrelemesi (DKE) kullanılması önerilir.

İpucu

Klasik istemciyi kullanıyorsanız ve ek şirket içi korumaya ihtiyacınız varsa, bunun yerine Kendi Anahtarını Tut (HYOK) kullanın.

Microsoft tarafından oluşturulan kiracı kök anahtarları

Microsoft tarafından otomatik olarak oluşturulan varsayılan anahtar, kiracı anahtarı yaşam döngü Azure Information Protection yönetmek için özel olarak kullanılan varsayılan anahtardır.

Özel donanım, yazılım veya Azure aboneliği olmadan hızlı Azure Information Protection için varsayılan Microsoft anahtarını kullanmaya devam edin. Örnek olarak, temel yönetim için mevzuata gerek kalmadan ortamları veya kuruluşları test etme örnekleri yer almaktadır.

Varsayılan anahtar için başka adım gerekmez ve doğrudan Kiracı kök anahtarınızı başlarken'e gidebilirsiniz.

Not

Microsoft tarafından oluşturulan varsayılan anahtar, en düşük yönetim ek yüküne sahip olan en basit seçenektir.

Çoğu durumda, kiracı anahtarına sahip olup olmadığını bile bilmiyor Azure Information Protection ve anahtar yönetimi işleminin geri kalanı Microsoft tarafından ele alınan bir işlemdir.

Kendi Anahtarını Getir (BYOK) koruması

BYOK koruması, şirket içinde veya müşteri kuruluşunda Azure Key Vault müşteriler tarafından oluşturulan anahtarları kullanır. Bu anahtarlar daha sonra daha fazla Azure Key Vault için bu anahtarlara aktarılır.

Tüm yaşam döngüsü işlemleri üzerinde denetim dahil olmak üzere, kuruluşta anahtar oluşturma için uyumluluk düzenlemeleri olduğunda BYOK kullanın. Örneğin, anahtarınız bir donanım güvenlik modülü tarafından korunmalıdır.

Daha fazla bilgi için bkz. BYOK korumasını yapılandırma.

Yapılandırıldığında, anahtarınızı kullanma ve yönetme hakkında daha fazla bilgi için kiracı kök anahtarınızı kullanmaya başlamaya devam edin.

Çift Anahtar Şifrelemesi (DKE)

için uygun: Yalnızca AIP birleşik etiketleme istemcisi

DKE koruması iki anahtar kullanarak içeriğiniz için ek güvenlik sağlar: biri Azure'da Microsoft tarafından oluşturulmuş ve tutulmakta, diğeri de müşteri tarafından oluşturulmuş ve şirket içinde tutulmakta.

DKE, korumalı içeriğe erişmek için her iki anahtarın da gerekli olmasını ve Microsoft'un ve diğer üçüncü tarafların korumalı verilere hiçbir zaman kendi başına erişmesini sağlamayı gerektirir.

DKE bulutta veya şirket içinde dağıtılabilir ve depolama konumları için tam esneklik sağlar.

DKE'yi, kuruluşta şu şekildeyken kullanın:

  • Her koşulda korumalı içeriğin şifresini yalnızca onlar çözene kadar emin olmak ister.
  • Microsoft'un korumalı verilere kendi kendine erişmesini istemiyor.
  • Anahtarları coğrafi sınır içinde tutmak için yasal gereksinimlere sahiptir. DKE ile müşteri tarafından düzenlenen anahtarlar müşteri veri merkezinde korunur.

Not

DKE, erişim kazanmak için hem banka anahtarı hem de müşteri anahtarı gerektiren bir kasaya benzer. DKE koruması, korumalı içeriğin şifresini çözmek için hem Microsoft tarafından korunan anahtarı hem de müşteri tarafından korunan anahtarı gerektirir.

Daha fazla bilgi için Microsoft 365 belgelerinde çift anahtar şifrelemesi.

Kendi Anahtarını Tut (HYOK)

için uygun: Yalnızca AIP klasik istemcisi

HYOK koruması, müşteriler tarafından buluttan yalıtılmış bir konumda oluşturulan ve tutulan bir anahtar kullanır. HYOK koruması yalnızca şirket içi uygulamalar ve hizmetler için verilere erişime olanak sağlar, çünkü HYOK kullanan müşteriler de bulut belgeleri için bulut tabanlı bir anahtara sahiptir.

HyOK'u aşağıdaki belgeler için kullanın:

  • Yalnızca birkaç kişi ile sınırlıdır
  • Kuruluş dışında paylaşılmadı
  • Yalnızca iç ağ üzerinde kullanılır.

Bu belgeler genellikle "Çok Gizli" olarak kuruluşta en yüksek sınıflandırmaya sahip olur.

İçerik, yalnızca klasik istemciniz varsa HYOK koruması kullanılarak şifrelenir. Ancak, HYOK korumalı içeriğiniz varsa, bu içerik hem klasik hem de birleşik etiketleme istemcisinde görüntülemenizi sağlar.

Daha fazla bilgi için bkz. Kendi Anahtarını Tut (HYOK) ayrıntıları.

Sonraki adımlar

Belirli anahtar türleri hakkında daha fazla bilgi için aşağıdaki makalelerden herhangi birini okuyun:

Şirket birleşmesinin ardından olduğu gibi kiracılar arasında geçerek şirket birleşmeleri ve birleştirmeler hakkında daha fazla bilgi için blog gönderimizi okumanız önerilir.