Управление ключами шифрования для экземпляра Dynamics 365 (Online)

Dynamics CRM 2016
 

Применимо к: Dynamics 365 (online)

Все экземпляры Microsoft Dynamics 365 Online используют прозрачное шифрование данных (TDE) Microsoft SQL Server для выполнения шифрования данных в реальном времени при записи на диск, которое также называется неактивным шифрованием.

По умолчанию Корпорация Майкрософт хранит ключи шифрования баз данных для вашего экземпляра Dynamics 365 (сетевая версия) и управляет ими, так что вам не требуется это делать. Функция управления ключами в Центр администрирования Dynamics 365 предоставляет администраторам возможность самостоятельно управлять ключами шифрования баз данных, которые связаны с экземплярами Dynamics 365 (сетевая версия).

С помощью функции управления ключами Dynamics 365 (сетевая версия) администраторы могут предоставить собственный ключ шифрования или запросить создание ключа шифрования, используемого для шифрования базы данных для экземпляра.

Функция управления ключами поддерживает и PFX-, и BYOK-файлы ключей шифрования, например как те, которые хранятся в модуле обеспечения безопасности оборудования (HSM). Чтобы использовать параметр отправки ключей шифрования, необходимо иметь общедоступный и закрытый ключи шифрования.

Функция управления ключами упрощает управление ключами шифрования с помощью Хранилище ключей Azure для безопасного хранения ключей шифрования.Хранилище ключей Azure помогает обеспечить защиту криптографических ключей и секретов, используемых облачными приложениями и службами. Функция управления ключами не требуется наличия подписки Хранилище ключей Azure, и в большинстве ситуаций вам не придется получать доступ к ключам шифрования, используемым для Dynamics 365 (сетевая версия) в хранилище.

Функция управления ключами позволяет выполнять следующие задачи.

  • Включать возможность самостоятельно управлять ключами шифрования баз данных, связанными с экземплярами Dynamics 365 (сетевая версия).

  • Создавать новые ключи шифрования и отправлять существующие PFX- или .BYOK-файлы ключей шифрования.

  • Заблокировать экземпляр Dynamics 365 (сетевая версия).

    System_CAPS_cautionВнимание!

    Не рекомендуется блокировать экземпляр в рамках обычного бизнес-процесса. Если экземпляр Dynamics 365 (сетевая версия) заблокирован, экземпляр переходит в режим автономной работы и к нему не могут получить доступ другие пользователи, включая Корпорация Майкрософт. Кроме того, прекращается работа служб, таких как синхронизация и обслуживание. Веской причиной заблокировать экземпляр будет перемещение базы данных из сетевой в локальную версию. Заблокировав экземпляр, можно гарантировать, что никто не сможет получить доступ к интерактивным данным.

    Заблокированный экземпляр невозможно восстановить из резервной копии.

  • Разблокировать экземпляр Dynamics 365 (сетевая версия). Чтобы разблокировать заблокированный экземпляр Dynamics 365 (сетевая версия), необходимо отправить ключ шифрования, который использовался для его блокировки. Если экземпляр Dynamics 365 (сетевая версия) заблокирован, к нему не могут получить доступ другие пользователи.

Как и в любой критичной для бизнеса ситуации, необходимо доверять персоналу внутри организации с доступом на уровне администратора. Прежде чем использовать функцию управления ключами, следует оценить риск самостоятельного управления ключами шифрования баз данных. Возможна ситуация, когда злонамеренный администратор (пользователь, которому предоставлен доступ на уровне администратора или который получил его с целью умышленно навредить безопасности или бизнес-процессам организации), работающий в организации, может использовать функцию управления ключами для создания ключа, с помощью которого можно заблокировать экземпляр Dynamics 365 (сетевая версия). Рассмотрите следующую последовательность событий.

  1. Злонамеренный администратор входит в Центр администрирования Dynamics 365, переходит на страницу редактирования экземпляра и создает новый ключ шифрования, чтобы зашифровать экземпляр. В процессе создания ключа злонамеренный администратор Dynamics 365 загружает ключ шифрования.

  2. Злонамеренный администратор блокирует связанный экземпляр Dynamics 365 (сетевая версия), а затем забирает или удаляет ключ шифрования, который использовался для блокировки экземпляра.

Обратите внимание, что изменение ключа шифрования занимает 72 часа. Кроме того, при каждом изменении ключа шифрования для экземпляра Dynamics 365 (сетевая версия) все администраторы Dynamics 365 (сетевая версия) получают сообщение электронной почты с уведомлением о смене ключа. В результате у вас будет до 72 часов для того, чтоб отменить все несанкционированные изменения.

Однако, если после 72 часов изменение ключа не отменено, экземпляр Dynamics 365 (сетевая версия) останется заблокированным, пока не будет найден ключ шифрования, который использовался для его блокировки, чтобы разблокировать экземпляр.

Чтобы использовать функцию управления ключами, требуется одна из следующих привилегий:

  • Наличие роли глобального администратора Office 365.

  • Членство в группе администраторов службы Office 365.

  • Роль безопасности системного администратора для экземпляра Dynamics 365 (сетевая версия), для которого требуется управлять ключами шифрования.

Возможность самостоятельно управлять ключами шифрования баз данных требует План 1 для Dynamics 365 или План 2 для Dynamics 365.

Самостоятельно управляемые ключи шифрования баз данных доступны только в обновлении за январь 2017 г. для Microsoft Dynamics 365 Online и могут быть недоступны в более поздних версиях.

Если вы предоставляет собственный ключ шифрования, ваш ключ должен отвечать следующим требованиям, принятым Хранилище ключей Azure.

  • Формат файла ключа шифрования должен быть PFX или BYOK.

  • 2048-разрядный RSA или RSA-HSM тип ключа.

  • PFX-файлы ключей шифрования должны быть защищены паролем.

Дополнительные сведения о типах ключей, поддерживаемых в Хранилище ключей Azure, см. в разделе Azure: ключи и типы ключей.

Для дополнительной безопасности можно импортировать или создать ключи в модулях обеспечения безопасности оборудования (HSM), которые никогда не покинут границ HSM. Файл "создание собственных ключей" (BYOK-файл) шифруется с помощью ключа обмена ключами (KEK), который остается зашифрованным, пока не будет перенесен в Хранилище ключей Azure путем отправки файла в Центр администрирования Dynamics 365. Только зашифрованная версия ключа покидает исходную рабочую станцию. Дополнительные сведения о создании и переносе ключа с защитой HSM по Интернету см. в разделе Создание и перенос ключей с защитой HSM для хранилища ключей Azure.

В следующих разделах описываются задачи, которые можно выполнить при самостоятельном управлении ключами шифрования баз данных для одного или нескольких экземпляров.

Эта процедура используется для настройки функции управления ключами в первый раз для экземпляра или изменения ключа шифрования для экземпляра с самостоятельным управлением.

  1. Войдите в центр администрирования Office 365.

  2. Разверните Центр администрирования, а затем щелкните Dynamics 365.

  3. Щелкните Экземпляр, выберите экземпляр, в котором требуется управлять ключом шифрования баз данных, а затем щелкните Изменить.

  4. В разделе Параметры шифрования базы данных щелкните Управлять ключом.

    Кнопка "Управлять ключом"
  5. Просмотрите открывшееся сообщение и, если требуется управлять собственным ключом шифрования баз данных для экземпляра, нажмите кнопку OK.

  6. По умолчанию имя ключа — ключ шифрования InstanceName. Оставьте имя ключа или измените его, а затем щелкните Создать или Отправить.

    Создать новый ключ или отправить ключ

    Создать. Щелкните Создать, чтобы создать ключ шифрования PFX, который будет использоваться для шифрования базы данных.

    1. При появлении запроса введите пароль, который будет использоваться для ключа шифрования.

    2. Чтобы использовать ключ для экземпляра, щелкните Да.

    3. При появлении запроса на сохранение закрытого ключа сохраните его в безопасном расположении. Создается 2048-разрядный ключ RSA SHA256. Настоятельно рекомендуется сделать резервную копию ключа и сохранить пароль в безопасном расположении.

    4. Щелкните Закрыть, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.

    Отправить. Щелкните Отправить, чтобы предоставить собственный защищенный паролем PFX- или BYOK-файл ключа шифрования.

    1. Найдите и добавьте собственный ключ, который был экспортирован из локального модуля обеспечения безопасности оборудования (HSM) или приложения ключей шифрования. Для BYOK-файлов ключей шифрования проверьте, что используется код подписки при экспорте ключа шифрования из локального HSM. Щелкните Отправка BYOK-файла? в диалоговом окне Управление ключом шифрования баз данных, чтобы найти код подписки.

    2. Если вы уверены, что хотите изменять ключ шифрования, щелкните Да.

    3. Введите пароль для ключа и нажмите кнопку OK.

    4. Щелкните Закрыть, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.

    5. Всем администраторам в организации Dynamics 365 (сетевая версия) будет отправлено сообщение электронной почты. Это происходит при изменении ключа для экземпляра.

Обратите внимание, что имя ключа, указанное для управления параметрами шифрования баз данных, теперь отображается в разделе Текущий ключ шифрования.

Индикация управляемого ключа

Отмена изменения управляемого ключа возвращает настройки экземпляра по умолчанию, где Корпорация Майкрософт управляет ключом шифрования за вас.

  • В Центр администрирования Dynamics 365 щелкните Экземпляр, выберите экземпляр, в котором требуется отменить изменение ключа шифрования, а затем щелкните Изменить.

  • В разделе Параметры шифрования базы данных щелкните Управлять ключом.

  • Щелкните Отменить.

  • Чтобы отменить изменения экземпляра и вернуться к ключу шифрования, управляемому Корпорация Майкрософт, щелкните Да.

  • Щелкните Закрыть, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.

Заблокированный экземпляр остается недоступным для всех, включая Корпорация Майкрософт, пока администратор клиента в организации не разблокирует его с помощью ключа, который использовался для блокировки экземпляра.

System_CAPS_cautionВнимание!

Если экземпляр Dynamics 365 (сетевая версия) заблокирован, экземпляр переходит в режим автономной работы и к нему не могут получить доступ другие пользователи, включая Корпорация Майкрософт. Кроме того, прекращается работа служб, таких как синхронизация и обслуживание. Не рекомендуется блокировать экземпляр в рамках обычного бизнес-процесса. Распространенной причиной заблокировать экземпляр будет перемещение базы данных из сетевой в локальную версию. Заблокировав экземпляр, можно гарантировать, что никто не сможет получить доступ к интерактивным данным.

Заблокированный экземпляр невозможно восстановить из резервной копии.

  1. В Центр администрирования Dynamics 365 щелкните Экземпляр, выберите экземпляр, который требуется заблокировать, а затем щелкните Изменить.

  2. В разделе Параметры шифрования базы данных щелкните Управлять ключом.

  3. Щелкните Заблокировать экземпляр.

  4. Введите имя так, как оно отображается в диалоговом окне, чтобы подтвердить, что вы понимаете риски блокировки экземпляра, а затем щелкните Отправить.

  5. Найдите и выберите файл ключа шифрования, который использовался для шифрования экземпляра, а затем щелкните Открыть.

  6. Введите пароль для ключа и нажмите кнопку OK.

  7. Чтобы заблокировать экземпляр, щелкните Да.

  8. Щелкните Закрыть, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.

Чтобы разблокировать экземпляр, необходимо предоставить ключ шифрования и пароль, который использовался для блокировки экземпляра.

  1. В Центр администрирования Dynamics 365 щелкните Экземпляр, выберите экземпляр, который требуется разблокировать, а затем щелкните Изменить.

  2. В разделе Параметры шифрования базы данных щелкните Управлять ключом.

  3. Щелкните Разблокировать экземпляр.

    Разблокировка экземпляра
  4. Найдите и выберите ключ шифрования, который использовался для шифрования экземпляра, а затем щелкните Открыть.

  5. Введите пароль для ключа и нажмите кнопку OK.

  6. Щелкните Закрыть, чтобы закрыть диалоговое окно управления ключами шифрования баз данных.

© Корпорация Майкрософт (Microsoft Corporation), 2017. Все права защищены. Авторские права

Добавления сообщества

ДОБАВИТЬ
Показ: