Поделиться через

Сведения о ключе доступности для ключа клиента

Ключ доступности — это корневой ключ, автоматически создаваемый при создании политики шифрования данных (DEP). Microsoft 365 сохраняет и защищает этот ключ. В отличие от ключей, которыми вы управляете в Azure Key Vault, вы не можете получить к ним прямой доступ. Только код службы Microsoft 365 может использовать его программным способом.

Его основной целью является восстановление после непредвиденной потери корневых ключей. Если вы потеряете контроль над ключами, обратитесь к служба поддержки Майкрософт для восстановления данных с помощью ключа доступности и миграции на новый DEP.

Ключ доступности отличается от Azure Key Vault ключей тремя способами:

  • Восстановление. Предоставляет возможность аварийного восстановления при потере обоих ключей Azure Key Vault.
  • Глубинная защита: Логическое разделение управления и хранилища предотвращает общую потерю из-за одного сбоя
  • Высокий уровень доступности: поддерживает временные сбои Azure Key Vault для Exchange/Нескольких рабочих нагрузок (SharePoint и OneDrive использует его только во время явных запросов на восстановление).

У вас есть исключительное право на отключение или уничтожение ключа доступности при выходе из службы. Дополнительные сведения см. в разделе Центр управления безопасностью Майкрософт.

Использование ключа доступности

Ключ доступности поддерживает восстановление, если злоумышленник получает контроль над хранилищем ключей или неправильное управление приводит к потере ключа. Все службы используют следующие варианты поведения:

  • Восстановление. Расшифровка данных для повторного шифрования с помощью нового DEP
  • Только программное: нет прямого доступа администратора; Только код службы может использовать его
  • Не замена: два клиентских ключа остаются основными корнями шифрования

Поведение, зависят от службы:

Помимо поддержки восстановления, ключ доступности обеспечивает постоянный доступ во время кратковременных Azure Key Vault сбоев для фоновых операций, таких как проверка на наличие вредоносных программ, обнаружение электронных данных, защита от потери данных, миграция почтовых ящиков и индексирование.

Резервная логика. Если сбой распаковки с одним ключом клиента, служба пытается выполнить второй. Если оба из-за системных ошибок завершаются ошибкой, они возвращаются к ключу доступности. Ошибки отказано в доступе не активируют резервные действия пользователя.

Безопасность ключа доступности

Корпорация Майкрософт защищает ключи доступности во внутренних хранилищах секретов, контролируемых доступом. Клиенты не могут напрямую получить доступ к ключу доступности. Ключи, которыми вы управляете, можно выполнять только в Azure Key Vault. Все операции выполняются с помощью кода автоматизированной службы. Дополнительные сведения см. в статье Смена ключа клиента или ключа доступности.

Хранилища секретов ключей доступности

Для операций управления требуется повышение привилегий за счет блокировки с обоснованием, утверждением руководителем и автоматическим отзывом с ограничением по времени.

Workload Место хранения
Exchange и несколько рабочих нагрузок Хранилище секретов Exchange Active Directory в контейнерах, зависящих от клиента
SharePoint и OneDrive Внутреннее хранилище секретов с База данных SQL серверной частью; ключи, упакованные с сертификатами AES-256/HMAC и RSA-2048

Глубинная защита

Корпорация Майкрософт использует глубинную защиту для защиты ключей доступности:

  • Изоляция приложений: только код службы Microsoft 365 может использовать ключи для шифрования и расшифровки
  • Логическое разделение: ключи клиента, ключи доступности и данные клиентов хранятся в изолированных расположениях
  • Элементы управления доступом: инженеры не имеют прямого доступа к хранилищам секретов (см. раздел Административные элементы управления доступом).
  • Технические средства управления. Блокировка интерактивного входа в привилегированные учетные записи служб
  • Мониторинг: непрерывное обнаружение вторжений, централизованное ведение журнала и оповещения о попытках несанкционированного доступа или базовых отклонениях

Использование ключа доступности для восстановления после потери ключа

Если вы потеряете контроль над ключами клиента, ключ доступности позволяет расшифровать затронутые данные и повторно зашифровать их в новом DEP с новыми ключами клиента.

  1. Создайте два новых ключа клиента в отдельных Azure подписках.
  2. Создайте dep (Exchange или Несколько рабочих нагрузок).
  3. Назначьте DEP затронутым почтовым ящикам или клиенту.
  4. Разрешить повторное шифрование в фоновом режиме (до 72 часов). Ключ доступности защищает данные во время перехода.

Использование ключа доступности

При создании DEP Microsoft 365 создает ключ DEP, зашифрованный три раза: один раз с каждым ключом клиента и один раз с ключом доступности. Сохраняются только зашифрованные версии.

Поток расшифровки:

  1. Расшифровка ключа DEP с помощью ключа клиента.
  2. Используйте ключ DEP для расшифровки ключа почтового ящика или рабочей нагрузки.
  3. Используйте этот ключ для расшифровки и доступа к данным.

Триггеры ключа доступности

Если Microsoft 365 требуется ключ DEP:

  1. Считывает DEP для идентификации обоих ключей клиента.
  2. Случайным образом выбирает один ключ и запрашивает Azure Key Vault для распаковки ключа DEP.
  3. В случае сбоя пытается использовать альтернативный ключ.
  4. Если оба сбоя завершаются ошибкой, вычисляет тип сбоя:
    • Системные ошибки (Key Vault недоступны, превышение времени ожидания, сбои сети). Возвращается к ключу доступности.
    • Доступ запрещен (ключ удален, разрешения удалены): запрос пользователя завершается ошибкой (без резервного восстановления).

Важно!

Внутренние операции (перемещение почтовых ящиков, индексирование, антивирусная программа, обнаружение электронных данных, защита от потери данных) по-прежнему могут возвращаться к ключу доступности, если оба ключа клиента недоступны независимо от типа ошибки, пока ключ доступности не будет удален.

Журналы аудита и ключ доступности

Автоматическая фоновая обработка не создает журналы, видимые клиентом. При использовании ключа доступности резервные события создают записи единого журнала аудита на портале Microsoft Purview:

  • Тип записи: CustomerKeyServiceEncryption
  • Действие. Откат к ключу доступности
  • Поле рабочей нагрузки: Exchange или M365DataAtRestEncryption

Поля включают дату, время, идентификатор организации, идентификатор DEP, идентификатор политики и идентификатор запроса (сведения о схеме).

Поиск в журнале аудита для ключевых событий доступности

Настраиваемые параметры ключа доступности

Примечание.

Использование ключа доступности SharePoint не регистрируется до тех пор, пока клиент не предоставит утверждение хранилища.

Ключ доступности в иерархии ключей клиента

Ключ доступности заключает уровень ключей под ним в иерархии шифрования. Алгоритмы по службам:

Служба Algorithm
Exchange и несколько рабочих нагрузок AES-256
SharePoint и OneDrive RSA-2048

Шифры шифрования для Exchange

Шифры шифрования для Exchange в ключе клиента

Шифры шифрования для SharePoint

Шифрование шифров для SharePoint в ключе клиента

  • Last updated on