Os seguintes tópicos estão disponíveis:

Gerando uma chave de criptografia fornecida pelo cliente

Para usar a chave de criptografia gerenciada pelo cliente para criptografar seus dados armazenados no iManage Work, você deve primeiro criar uma chave de criptografia.

Você pode criar uma chave de criptografia pública/privada RSA-2048 bits em sua ferramenta preferida ou seguir as instruções abaixo para criar uma com OpenSSL.

Para criar um par de chaves com o OpenSSL:

1. Baixe e instale um aplicativo de chaves de criptografia, tal como o OpenSSL, no computador cliente.
2. Crie um arquivo PEM com o comando seguinte:
   openssl genrsa -aes256 -out private.pem 2048
3. Insira uma frase secreta para a chave privada.
4. Deposite a chave privada RSA junto ao custodiante da garantia.
5. Além da cópia garantida, armazene um backup da chave e das senhas em um local seguro separado. NOTA: O Azure já não suporta a capacidade de fazer cópias de segurança ou restaurar chaves para um segundo cofre e não é uma alternativa adequada para o depósito de chaves.
6. Faça duas cópias da chave privada e das senhas, e dê uma cópia para cada um dos dois responsáveis da chave.

NOTA: Não é possível gerar uma chave utilizando a função de geração de chaves incorporada do Azure. O Azure também não fornece meios para exportar a chave do seu cofre.

Planilha de Informações do Azure

Use essa planilha para registrar os valores criados durante o processo de criação dos cofres de chaves. Esses valores serão utilizados posteriormente nas cerimônias de chave no iManage Control Center.

Planilha: Planilha de Informações do Azure

Adicionar a chave de criptografia fornecida pelo cliente a um cofre de chaves Azure

Use o Microsoft Azure para criar os cofres de chaves. Certifique-se de que as notas a seguir sejam incorporadas nas suas etapas e de que os resultados tenham um aspecto parecido ao dos exemplos abaixo.

1. Crie um cofre de chaves usando as instruções fornecidas na ajuda do Microsoft Azure.
   1. Registre o nome DNS do Cofre de Chaves Azure na linha 1 da planilha de informações do Azure.
      Por exemplo: https://ajubalaw.vault.azure.net/
      NOTA: Inclua a barra invertida final.
   2. Dentro desse cofre de chaves, crie um recurso chave. As únicas configurações necessárias são:
      * Incluir Codificar Chave e Decodificar Chave.
      * Não use Definir data de ativação ou Definir data de expiração.
   3. Importe a chave de criptografia fornecida pelo cliente que foi criada durante a etapa Gerando uma etapa chave de criptografia fornecida pelo cliente.
      Isso cria um identificador de chave. Por exemplo: https://ajubalaw.vault.azure.net/keys/ajubalaw-1/da93550d9b344d04a212dd06b7e7f4dc
      Registre o Identificador de chave na linha 2 da Planilha de Informações do Azure.
2. Registre o aplicativo.
   Por exemplo: 3fb0c700-536b-4700-9841-61e775400809
   Registre a ID do aplicativo (cliente) na linha 3 da Planilha de Informações do Azure.

3. Crie um segredo do aplicativo, também denominado senha do aplicativo.

   Uma vez criado o segredo do cliente, registre imediatamente o seu valor e deposite-o junto a um custodiante. Você não poderá recuperá-lo depois de abandonar essa seção.

   Por exemplo: xCGRvvvQmKfqwTw[@a@qovRN_Nn72K46
   Registre o Segredo do cliente na linha 4 da Planilha de Informações do Azure.

   Ao gerar o segredo do aplicativo, o Azure exige que você especifique uma data de validade de dois anos ou menos. Você DEVE garantir que possui processos em vigor para atualizar esse segredo antes de sua data de expiração, ou o iManage Cloud não conseguirá acessar o Key Vault e seu conteúdo não poderá ser descriptografado.

   Sempre que você tiver um segredo atualizado, use as instruções em Atualizar o ID ou segredo do cliente do Azure Key Store para atualizar também o segredo no iManage Control Center.

4. Outorgue ao aplicativo uma política de acesso ao cofre de chaves com as seguintes permissões: Codificar Chave e Decodificar Chave.

Perguntas frequentes

P: Quantos Azure Key Vaults são necessários?
A: Dois Azure Key Vaults são necessários para atender a esse requisito. São necessários dois conjuntos independentes de porta-chaves e, como prática recomendada, o iManage recomenda que nenhum porta-chaves tenha acesso a ambos os cofres de chaves.

P: Devemos configurar dois cofres de chaves na mesma assinatura?

A IManage recomenda ter duas contas independentes do Azure pertencentes aos detentores de chaves designados pela empresa e acessíveis separadamente apenas a esses detentores de chaves. Para obter assistência com a assinatura do Azure, entre em contato com um representante da Microsoft.

P: Podemos armazenar mais de uma chave no mesmo par de cofres de chaves?

A: Não, a chave RSA deve ser idêntica entre o par de cofres de chaves. O serviço iManage CMEK valida se as chaves RSA entre o par do Cofre de Chaves são idênticas.

P: Posso gerar uma chave usando a funcionalidade do Azure Key Vault?

A: A geração de uma chave no Azure Key Vault não é permitida pelos seguintes motivos:

• A chave deve ser idêntica
• O ID da chave não deve ser idêntico
• O detentor da chave deve ser uma pessoa separada

Uma chave não pode ser gerada no Azure Key Vault porque a ID da chave não pode ser modificada. Portanto, uma chave deve ser criada fora do Cofre de Chaves Azure. Para obter instruções sobre como criar uma chave usando um aplicativo alternativo como OpenSSL, consulte Gerando uma chave de criptografia fornecida pelo cliente.

P: Quanto podemos esperar que seja cobrado pelo Azure?

A: As únicas funções do iManage que interagem com o Azure Key Vault são a codificação e a decodificação de chaves. Essas atividades ocorrem aproximadamente a cada 5 minutos, o que por si só custaria aproximadamente US$ 15 por mês. O tamanho da biblioteca, o número de usuários e a quantidade de atividade não afetam a quantidade de ações de codificação e decodificação de chaves que o iManage envia para o Cofre de Chaves Azure. Para obter mais informações sobre os preços do Azure, consulte https://azure.microsoft.com/en-us/pricing/details/key-vault/.