通过

使用自己的密钥 (BYOK) 加密静态Defender for Cloud Apps数据

  • 项目

本文介绍如何将Defender for Cloud Apps配置为使用自己的密钥在静态数据时加密收集的数据。 如果你正在寻找有关对云应用中存储的数据应用加密的文档,请参阅 Microsoft Purview 集成

Defender for Cloud Apps认真对待你的安全和隐私。 因此,一旦Defender for Cloud Apps开始收集数据,它就会根据我们的数据安全和隐私策略使用自己的托管密钥来保护你的数据。 此外,Defender for Cloud Apps允许使用自己的 Azure 密钥保管库密钥加密静态数据,从而进一步保护静态数据。

重要

如果访问 Azure 密钥保管库密钥时遇到问题,Defender for Cloud Apps将无法加密数据,并且租户将在一小时内锁定。 当租户被锁定时,将阻止对租户的所有访问,直到原因得到解决。 再次访问密钥后,将还原对租户的完全访问权限。

此过程仅在 Microsoft Defender 门户中可用,不能在经典Microsoft Defender for Cloud Apps门户上执行。

先决条件

必须在与Defender for Cloud Apps租户关联的租户Microsoft Entra ID中注册 Microsoft Defender for Cloud Apps - BYOK 应用。

注册应用

  1. 安装 Microsoft Graph PowerShell

  2. 打开 PowerShell 终端并运行以下命令:

    Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

    其中 ServicePrincipalId 是上一个命令 (New-MgServicePrincipal) 返回的 ID。

注意

  • Defender for Cloud Apps对所有新租户的静态数据进行加密。
  • 将加密驻留在 Defender for Cloud Apps 中超过 48 小时的任何数据。

部署 Azure 密钥保管库密钥

  1. 创建新的密钥保管库并启用“软删除”和“清除保护”选项。

  2. 在新生成的密钥保管库中,打开“访问策略”窗格,然后选择“+添加访问策略”。

    1. 选择“ 密钥权限 ”,然后从下拉菜单中选择以下权限:

      所需权限
      密钥管理操作 -列表
      加密操作 - 包装键
      - 解包密钥

      显示选择密钥权限的屏幕截图。

    2. “选择主体”下,选择“Microsoft Defender for Cloud Apps - BYOK”或“Microsoft云应用安全 - BYOK”。

      显示“添加访问策略”页的屏幕截图。

    3. 选择“保存”

  3. 创建新的 RSA 密钥并执行以下操作:

    注意

    仅支持 RSA 密钥。

    1. 创建密钥后,选择新生成的密钥,选择当前版本,然后会看到 “允许的操作”。

    2. “允许的操作”下,确保已启用以下选项:

      • 包装键
      • 解包密钥

    3. 复制 密钥标识符 URI。 稍后需要用到该名称。

    显示密钥设置页的屏幕截图。

  4. (可选)如果对所选网络使用防火墙,请配置以下防火墙设置以授予Defender for Cloud Apps对指定密钥的访问权限,然后单击“保存”:

    1. 确保未选择任何虚拟网络。
    2. 添加以下 IP 地址:
      • 13.66.200.132
      • 23.100.71.251
      • 40.78.82.214
      • 51.105.4.145
      • 52.166.166.111
      • 13.72.32.204
      • 52.244.79.38
      • 52.227.8.45
    3. 选择 “允许受信任的Microsoft服务绕过此防火墙”。

    显示防火墙配置的屏幕截图。

在 Defender for Cloud Apps 中启用数据加密

启用数据加密后,Defender for Cloud Apps立即使用 Azure 密钥保管库密钥对静态数据进行加密。 由于密钥对加密过程至关重要,因此请务必确保指定的密钥保管库和密钥随时可访问。

启用数据加密

  1. 在Microsoft Defender门户中,选择“设置>云应用>数据加密>”“启用数据加密”。

  2. “Azure 密钥保管库密钥 URI”框中,粘贴前面复制的密钥标识符 URI 值。 无论 URI 指定的密钥版本如何,Defender for Cloud Apps始终使用最新的密钥版本。

  3. URI 验证完成后,选择“ 启用”。

注意

禁用数据加密时,Defender for Cloud Apps会从静态数据中删除使用自己的密钥进行加密。 但是,数据仍由Defender for Cloud Apps托管密钥加密。

若要禁用数据加密,请: 转到“ 数据加密 ”选项卡,然后单击“ 禁用数据加密”。

键滚动处理

每当创建为数据加密配置的密钥的新版本时,Defender for Cloud Apps会自动滚动到最新版本的密钥。

如何处理数据加密失败

如果访问 Azure 密钥保管库密钥时遇到问题,Defender for Cloud Apps将无法加密数据,并且租户将在一小时内锁定。 当租户被锁定时,将阻止对租户的所有访问,直到原因得到解决。 再次访问密钥后,将还原对租户的完全访问权限。 有关处理数据加密失败的信息,请参阅 使用自己的密钥排查数据加密问题。