Azure RMS Nasıl Çalışır?
Azure RMS’in nasıl çalıştığını anlamak için önemli olan şey, Azure Information Protection bu veri koruma hizmetinin verilerinizi koruma işleminin bir parçası olarak görmemesi veya saklamamasıdır. Koruyacağınız bilgiler Azure’da açıkça saklamadığınız veya Azure’da depolayan başka bir bulut hizmeti kullanmadığınız sürece asla Azure’a gönderilmez veya depolanmaz. Azure RMS, bir belgedeki verileri yalnızca yetkili kullanıcılar ve hizmetler dışındaki herhangi biri tarafından okunamaz hale getirir:
- Veriler, uygulama düzeyinde şifrelenir ve bu belgenin yetkili kullanımını tanımlayan bir ilke içerir.
- Korunan bir belge meşru bir kullanıcı tarafından kullanıldığında veya yetkili bir servis tarafından işlendiğinde, belgedeki veriler şifrelerini çözer ve ilkede tanımlanan haklar zorlanır.
Yüksek seviyede, aşağıdaki resimde nasıl çalıştığını görebilirsiniz. Gizli formülü içeren bir belge korunur ve daha sonra yetkili bir kullanıcı veya hizmet tarafından başarılı bir şekilde açılır. Belge bir içerik anahtarı tarafından korunmaktadır (bu resimdeki yeşil). Her belge için benzersizdir ve Azure Information Protection kiracı kök anahtarınız (bu resimdeki kırmızı) tarafından korunan dosya üstbilgisine yerleştirilir. Kiracı anahtarınız Microsoft tarafından oluşturulabilir ve yönetilebilir veya kendi kiracı anahtarınızı oluşturup yönetebilirsiniz.
Azure RMS tarafından kullanılan şifreleme denetimleri: Algoritmalar ve anahtar uzunlukları
Bu teknolojinin nasıl işlediğini ayrıntılı olarak bilmeniz gerekmese bile, kullandığı şifreleme denetimleri hakkında bilgi edinmeniz gerekebilir. Örneğin, güvenlik korumasının endüstri standardı olduğunu doğrulamak için.
| Şifreleme kontrolleri | Azure RMS’de kullanılan |
| Algorithm: AES
Key length: 128 bits and 256 bits |
Dokümantasyon koruması |
| Algorithm: RSA
Key length: 2048 bits |
Anahtar koruması |
| SHA-256 | Sertifika imzalama |
Dosya, .ppdf dosya adı uzantısına sahipse veya korunan bir metin veya resim dosyası (.ptxt veya .pjpg gibi) olduğunda, Azure Information Protection istemcisi ve Right Management paylaşım uygulaması tarafından genel koruma ve yerel koruma için 256 bit kullanılır.
Azure Rights Management hizmeti etkinleştirildiğinde anahtar uzunluğu 2048 bittir. Aşağıdaki isteğe bağlı senaryolar için 1024 bit desteklenir:
- AD RMS kümesi Kriptografi Modunda çalışıyorsa, şirket içi bir geçiş sırasında Mode 1 desteklenir.
- Kurumdan geçiş yaptıktan sonra, AD RMS kümesi Exchange Online kullanılıyorsa.
- Taşıma öncesi kurum içi olarak oluşturulan arşivlenmiş anahtarlar için daha önce AD RMS tarafından korunan içeriğin Taşıma işleminden sonra Azure Rights Management hizmeti tarafından açılmaya devam etmesi sağlanır.
- Müşteriler, Azure Key Vault’u kullanarak kendi anahtarlarını (BYOK) getirmeyi seçerse. Azure Information Protection, 1024 bit ve 2048 bitlik anahtar uzunluklarını destekler. Daha yüksek güvenlik sağlamak için 2048 bit’lik bir anahtar uzunluğunu önerilmektedir.
Azure RMS şifreleme anahtarları nasıl saklanır ve güvence altına alınır
Azure RMS tarafından korunan her belge veya e-posta için Azure RMS tek bir AES anahtarı (“içerik anahtarı”) oluşturur ve bu anahtar belgeye gömülür ve belgelerin sürümleri boyunca devam eder.
İçerik anahtarı, dokümandaki politikanın bir parçası olarak kurumun RSA anahtarıyla (“Azure Information Protection tenant key”) korunur ve politika belgenin yazarı tarafından da imzalanır. Bu kiracı anahtarı, kuruluş için Azure Rights Management hizmeti tarafından korunan tüm belgeler ve e-postalar için ortaktır ve bu anahtar yalnızca bir Azure Information Protection yöneticisi tarafından değiştirilebilir; bu kuruluş tarafından müşteri tarafından yönetilen bir kiracı anahtarı kullanılırsa (bilinen “kendi anahtarınızı getirin” veya BYOK olarak).
Bu kiracı anahtarı, Microsoft’un çevrimiçi hizmetlerinde, kontrollü bir ortamda ve yakın izlem altında korunmaktadır. Müşteri tarafından yönetilen bir kiracı anahtarı (BYOK) kullandığınızda, bu güvenlik, her Azure bölgesinde bir dizi üst seviye donanım güvenlik modülü (HSM) kullanılarak geliştirilir, anahtarlar ayıklanıp, dışa aktarılmayacak, veya herhangi bir koşulda paylaşılabilir.
Bir Windows cihazına gönderilen lisanslar ve sertifikalar, cihazdaki bir kullanıcının Azure RMS kullandığı ilk seferde oluşturulan istemcinin cihaz özel anahtarı ile korunur. Bu özel anahtar, sırayla kullanıcının sırrından türetilen bir anahtarı kullanarak bu sırları koruyan istemcideki DPAPI ile korunur. Mobil aygıtlarda, anahtarlar yalnızca bir kez kullanılır, bu nedenle istemciler üzerinde depolanmazlar, bu anahtarların aygıtta korunması gerekmez.
