Azure-Schlüsseltresor
Folgende Themen sind verfügbar:
Generieren eines vom Kunden bereitgestellten Verschlüsselungscodes
Um einen kundenverwalteten Verschlüsselungscodes zur Verschlüsselung Ihrer in iManage Work gespeicherten Daten verwenden zu können, müssen Sie zunächst einen Verschlüsselungscode erstellen.
Sie können einen öffentlichen/privaten RSA-2048-Bit-Verschlüsselungscode in Ihrem bevorzugten Tool erstellen, oder Sie den Anweisungen unten folgen, um einen solchen mit OpenSSL zu erstellen.
Nachdem der vom Kunden bereitgestellte Verschlüsselungscode erstellt wurde, hinterlegen Sie den Code sofort bei einem Verwahrer und geben den Code für andere Azure-Administratoren frei. Diese Redundanz ist wichtig, falls der Schlüssel verloren gehen oder versehentlich gelöscht werden sollte. Wenn der Verschlüsselungscode verloren geht oder zerstört wird, verlieren Sie dauerhaft alle verschlüsselten Daten auf dem iManage Work-System.
So erstellen Sie ein Schlüsselpaar mit OpenSSL:
- Laden Sie eine Verschlüsselungscode-Anwendung, z. B. OpenSSL, herunter und installieren Sie diese auf dem Client-Rechner.
- Erstellen Sie eine PEM-Datei mit folgendem Befehl:
openssl genrsa -aes256 -out private.pem 2048 - Geben Sie eine geheime Passphrase für den privaten Schlüssel ein.
- Hinterlegen Sie den privaten RSA-Schlüssel beim Verwahrer.
- Bewahren Sie zusätzlich zu der verwahrten Kopie eine Sicherungskopie des Schlüssels und der Passwörter an einem anderen sicheren Ort auf. HINWEIS: Azure unterstützt die Möglichkeit, Schlüssel in einem zweiten Tresor zu sichern oder wiederherzustellen, nicht mehr und ist keine geeignete Alternative für die Schlüsselverwahrung.
- Erstellen Sie zwei Kopien des privaten Schlüssels und der Passwörter und geben Sie jeweils eine Kopie an die beiden Schlüsselinhaber.
HINWEIS: Sie können einen Schlüssel nicht mit der integrierten Schlüsselgenerierungsfunktion von Azure erzeugen. Azure bietet auch keine Funktion zum Exportieren des Schlüssels aus seinem Tresor.
Azure-Informationsarbeitsblatt
Verwenden Sie dieses Arbeitsblatt, um Werte aufzuzeichnen, die während des Schlüsseltresorprozesses erstellt wurden. Diese Werte werden später in den Schlüsselprozeduren im iManage Control Center verwendet.
Worksheet: Azure-Informationsarbeitsblatt
Name | Wert | ||
|---|---|---|---|
DNS-Name des Azure-Schlüsseltresors | Beispiel | https://ajubalaw.vault.azure.net/ HINWEIS: Am Ende muss ein Backslash stehen. | |
1 | Aktuell | ||
Die Schlüsselversion des Azure-Schlüsselidentifikators | Beispiel | https://ajubalaw.vault.azure.net/keys/ajubalaw-1/da93550d9b344d04a212dd06b7e7f4dc | |
2 | Aktuell | ||
Anwendungs-ID (auch als Client-ID bekannt) | Beispiel | 3fb0c700-536b-4700-9841-61e775400809 | |
3 | Aktuell | ||
Client-Geheimnis (auch bekannt als Anwendungskennwort) | Beispiel | xCGRvvvQmKfqwTw[@a@qovRN_Nn72K46 | |
4 | Aktuell |
Hinzufügen des vom Kunden bereitgestellten Verschlüsselungscodes zu einem Azure-Schlüsseltresor
Verwenden Sie Microsoft Azure, um die Schlüsseltresore zu erstellen. Stellen Sie sicher, dass die folgenden Hinweise in Ihre Schritte einbezogen werden und die Ergebnisse den unten aufgeführten Beispielen ähneln.
- Erstellen Sie einen Schlüsseltresor gemäß den Anweisungen in der Microsoft Azure-Hilfe.
- Tragen Sie den DNS-Namen des Azure-Schlüsseltresors in Zeile 1 des Azure-Informationsarbeitsblatts ein.
Zum Beispiel:https://ajubalaw.vault.azure.net/
HINWEIS: Der abschließende Backslash muss vorhanden sein. - Erstellen Sie innerhalb dieses Schlüsseltresors eine Schlüsselressource. Die einzigen erforderlichen Einstellungen sind:
* Wrap Key und Unwrap Key einbeziehen.
* Weder Aktivierungsdatum festlegen noch Verfallsdatum festlegen verwenden. - Importieren Sie den vom Kunden bereitgestellten Verschlüsselungscode, der im Schritt Generieren eines vom Kunden bereitgestellten Verschlüsselungscodes erstellt wurde.
Dadurch wird ein Schlüssel-Identifikator erstellt. Beispiel:https://ajubalaw.vault.azure.net/keys/ajubalaw-1/da93550d9b344d04a212dd06b7e7f4dc
Tragen Sie den Schlüsselidentifikator in Zeile 2 des Azure Information Worksheet ein.
- Tragen Sie den DNS-Namen des Azure-Schlüsseltresors in Zeile 1 des Azure-Informationsarbeitsblatts ein.
- Registrieren Sie die Anwendung.
Zum Beispiel:3fb0c700-536b-4700-9841-61e775400809
Tragen Sie die Anwendungs-(Client-)ID in Zeile 3 des Azure Information Worksheet ein. Erstellen Sie ein Anwendungsgeheimnis, auch Anwendungskennwort genannt.
Nachdem das Client-Geheimnis erstellt wurde, zeichnen Sie den Wert sofort auf und hinterlegen Sie ihn ebenfalls bei einem Verwahrer. Sie können sie nicht mehr abrufen, nachdem Sie diesen Bereich verlassen haben.
Beispiel:
xCGRvvvQmKfqwTw[@a@qovRN_Nn72K46
Notieren Sie das Client-Geheimnis in Zeile 4 des Azure Information Worksheet.Beim Erstellen des Anwendungsgeheimnisses müssen Sie in Azure ein Ablaufdatum angeben, das höchstens zwei Jahre in der Zukunft liegt. Sie MÜSSEN sicherstellen, dass Sie über Prozesse zur Aktualisierung dieses Geheimnisses vor dem Ablaufdatum verfügen, sonst kann die iManage Cloud nicht auf den Schlüsseltresor zugreifen, und Ihre Inhalte können nicht entschlüsselt werden.
Wenn Sie ein aktualisiertes Geheimnis haben, verwenden Sie die Anweisungen unter Aktualisieren der Client-ID oder des Geheimnisses für den Azure Key Store, um auch das Geheimnis in iManage Control Center zu aktualisieren.
- Gewähren Sie der Anwendung eine Zugriffsrichtlinie mit den folgenden Berechtigungen für den Schlüsseltresor: Wrap Key und Unwrap Key.
HÄUFIG GESTELLTE FRAGEN
F: Wie viele Azure-Schlüsseltresore werden benötigt?
A: Um diese Anforderung zu erfüllen, werden zwei Azure-Schlüsseltresore benötigt. Es sind zwei unabhängige Schlüsselhalter erforderlich, und iManage empfiehlt, keinem einzelnen Schlüsselhalter Zugang zu beiden Schlüsseltresoren zu gewähren.
F: Sollten wir innerhalb desselben Abonnements zwei Schlüsseltresore konfigurieren?
IManage empfiehlt zwei unabhängige Azure-Konten, die den designierten Schlüsselhaltern des Unternehmens gehören und nur für diese Schlüsselhalter zugänglich sind. Wenn Sie Unterstützung bezüglich eines Azure-Abonnements benötigen, wenden Sie sich bitte an einen Microsoft-Mitarbeiter.
F: Können wir mehrere Schlüssel im selben Schlüsseltresorpaar speichern?
A: Nein, der RSA-Schlüssel muss zwischen dem Schlüsseltresor-Paar übereinstimmen. Der Dienst iManage CMEK überprüft, ob die RSA-Schlüssel des Schlüsseltresor-Paares übereinstimmen.
F: Kann ich mit der Azure-Schlüsseltresor-Funktionalität einen Schlüssel generieren?
A: Das Generieren eines Schlüssels innerhalb des Azure Schlüsseltresors ist aus den folgenden Gründen nicht zulässig:
- Der Schlüssel muss identisch sein
- Die Schlüssel-ID darf nicht identisch sein
- Der Schlüsselhalter muss eine separate Person sein
Ein Schlüssel kann nicht im Azure-Schlüsseltresor erzeugt werden, da die Schlüssel-ID nicht geändert werden kann. Daher muss ein Schlüssel außerhalb Ihres Azure-Schlüsseltresors erstellt werden. Anweisungen zum Erstellen eines Schlüssels mit einer alternativen Anwendung wie OpenSSL finden Sie unter Generieren eines vom Kunden bereitgestellten Verschlüsselungscodes.
F: Mit welchen Kosten können wir bei Azure rechnen?
A: Die einzigen iManage-Funktionen, die mit dem Azure-Schlüsseltresor interagieren, sind Key Wrap und Key Unwrap. Diese Aktivitäten erfolgen etwa alle 5 Minuten, was allein etwa 15 US-Dollar pro Monat kosten würde. Bibliotheksgröße, Anzahl der Benutzer und Aktivität haben keinen Einfluss auf die Anzahl der Key Wrap- und Key Unwrap-Aktionen, die iManage an den Azure-Schlüsseltresor sendet. Weitere Informationen zu den Preisen von Azure finden Sie unter https://azure.microsoft.com/en-us/pricing/details/key-vault/.