上篇我们讲了使用Microsoft托管密钥的Azure信息保护云退出,本文我们将介绍使用自带密钥 (BYOK) 的Azure信息保护云退出。
自带密钥 (BYOK) 由客户在 nCipher HSM 中创建,并安全地传输到基于 HSM 的 Azure Key Vault,供 AIP 使用。 由于 Microsoft 无法导出 BYOK,因此客户对其自己的 nCipher HSM 中的此密钥负全部责任。 客户选择此选项是为了满足他们对基于 HSM 的密钥的要求 - 考虑到管理其密钥比使用 MMK 选项需要付出更大的努力。
使用具有 BYOK 选项的 AIP 的客户需要在部署 AIP 之前(特别是在从 MMK 切换到 BYOK 之前)执行准备过程。
假设准备正确,稍后的 Cloud Exit 将提供以下功能:
- 具有 AD RMS 超级用户权限的管理员可以访问任何内容,也可以选择取消保护任何内容。
- 普通最终用户还能够使用为他们明确保护的内容,他们还能够打开使用在初始准备和配置期间创建的标签/模板保护的内容。
- 最终用户无法访问任何使用随后创建的预定义权限标记/保护的内容,因此他们需要将此类请求升级给超级用户。
为了允许 BYOK 客户稍后退出云,必须执行以下准备步骤:
-
在配置 AIP 服务之前,请安装一个干净的 AD RMS 群集,使用 nCipher HSM 托管群集的密钥,并且"无需"在 Active Directory 中注册服务连接点 (SCP)。 您可以遵循我们发布的指南。 该集群使用的密钥将是您稍后将在 AIP 中使用的密钥,因此建议根据您的安全和操作要求进行配置。
-
为您打算在 AIP 中创建的所有标签创建 AD RMS 模板。 使用与未来 AIP 标签相同的名称、描述和权限是理想的选择,但不是必需的。
-
还建议在 AD RMS 中创建更多模板,稍后可用于其他 AIP 标签。
-
AD RMS 中所有模板的基本原理是确保这些 AD RMS 模板的 GUID 与 AIP 标签的 GUID 一致 - 这是 AD RMS 稍后在云退出后识别受 AIP 标签保护的内容的先决条件。
-
使用"自带密钥"选项执行 AD RMS 到 AIP 迁移过程的第 2 阶段。 这会将您在本地配置的密钥和模板带到云服务。
根据需要将新导入的模板转换为AIP标签。 将其余导入的模板存档。 根据需要配置其他 AIP 设置,并根据您所需的场景开始使用 AIP。
要将模板转换为标签,请使用以下命令,并确保为"EncryptionTemplateId"参数使用适当的值:
New-Label -Name TestLabel -EncryptionTemplateId 514a86b6-67ac-43e7-8682-f7e9d00bb7e7 -DisplayName TestLabel -ToolTip "This is a TestLabel" -EncryptionEnabled $true -EncryptionProtectionType Template
- 停用 AD RMS。
a) 备份 AD RMS 数据库并将其保存在安全的地方。
b) 制作 AD RMS TPD 的副本并将其保存在安全的地方,包括用于加密 TPD 的密码。
c) 确保 nCipher HSM 和管理/操作员卡的安全。
d) 关闭 AD RMS 并(可选)取消配置所有使用的服务器,前提是备份和密钥受到保护。
一旦确定需要执行云退出,请执行以下步骤:
-
配置 AIP 以使用入职控制将所有组织用户置于"只读"状态(例如,使用空组进行入职)。
-
备份原始 AD RMS 群集:
a) 将 AD RMS 数据库备份还原到最初使用的同名 SQL Server 实例中,并将新的 AD RMS 群集节点安装到数据库。
b) 如果您没有成功,或者您在准备阶段安装的原始 AD RMS 群集不能满足您的生产可扩展性或可支持性需求,您还可以安装新的 AD RMS 群集并导入之前导出的 TPD 文件。
c) 让 nCipher HSM 恢复运行并将其连接到 AD RMS 群集节点。 根据要求,可以使用更具可扩展性的 nCipher HSM(假设与 nCipher Security World 和为 BYOK 生成的密钥文件兼容)。
-
调整 AD RMS 模板权限,确保它们与 AIP 上相应的标签权限匹配。 如果 AIP 标签中的权限是通过现代组(即未从本地 AD 同步的组)授予的,则需要执行其他步骤:在这种情况下,必须为相应的本地组配置与其云等效组相同的成员身份。 然后,将这些组分配给模板。 这将允许用户使用受初始配置期间创建的标签/模板保护的内容。
-
配置客户端以使用将 AIP URL 指向 AD RMS 群集 URL 的许可重定向。 您应用用于从 AD RMS 迁移到 AIP 的相同设置,反转注册表中重定向 URL 的位置。 请注意,截至 2020 年 5 月,基于 MIP SDK 的应用程序不支持这些注册表覆盖。 这会影响例如 与 AIP 统一标签客户端或 Acrobat Reader DC 的 MIP 插件一起安装的 PowerShell cmdlet。
-
使用 AD RMS 中的超级用户权限来使用受预配过程后创建的标签/模板保护的内容。
如果在上传 BYOK 并使其成为活动密钥之前任何文档已受到使用中的 MMK 的保护,则需要执行其他步骤。 在这种情况下,需要在本节讨论的云出口之上实现 MMK 云出口的过程(请参阅上一节)。 这确保了在上传 BYOK 之前受保护的文档在云退出后仍然可以打开。