使用自带密钥 (BYOK) 的Azure信息保护云退出

上篇我们讲了使用Microsoft托管密钥的Azure信息保护云退出，本文我们将介绍使用自带密钥 (BYOK) 的Azure信息保护云退出。
自带密钥 (BYOK) 由客户在 nCipher HSM 中创建，并安全地传输到基于 HSM 的 Azure Key Vault，供 AIP 使用。 由于 Microsoft 无法导出 BYOK，因此客户对其自己的 nCipher HSM 中的此密钥负全部责任。 客户选择此选项是为了满足他们对基于 HSM 的密钥的要求 - 考虑到管理其密钥比使用 MMK 选项需要付出更大的努力。 
 
使用具有 BYOK 选项的 AIP 的客户需要在部署 AIP 之前（特别是在从 MMK 切换到 BYOK 之前）执行准备过程。
假设准备正确，稍后的 Cloud Exit 将提供以下功能：

• 具有 AD RMS 超级用户权限的管理员可以访问任何内容，也可以选择取消保护任何内容。
• 普通最终用户还能够使用为他们明确保护的内容，他们还能够打开使用在初始准备和配置期间创建的标签/模板保护的内容。
• 最终用户无法访问任何使用随后创建的预定义权限标记/保护的内容，因此他们需要将此类请求升级给超级用户。

为了允许 BYOK 客户稍后退出云，必须执行以下准备步骤：
1.    在配置 AIP 服务之前，请安装一个干净的 AD RMS 群集，使用 nCipher HSM 托管群集的密钥，并且“无需”在 Active Directory 中注册服务连接点 (SCP)。 您可以遵循我们发布的指南。 该集群使用的密钥将是您稍后将在 AIP 中使用的密钥，因此建议根据您的安全和操作要求进行配置。
2.    为您打算在 AIP 中创建的所有标签创建 AD RMS 模板。 使用与未来 AIP 标签相同的名称、描述和权限是理想的选择，但不是必需的。
3.    还建议在 AD RMS 中创建更多模板，稍后可用于其他 AIP 标签。
4.    AD RMS 中所有模板的基本原理是确保这些 AD RMS 模板的 GUID 与 AIP 标签的 GUID 一致 - 这是 AD RMS 稍后在云退出后识别受 AIP 标签保护的内容的先决条件。
5.    使用“自带密钥”选项执行 AD RMS 到 AIP 迁移过程的第 2 阶段。 这会将您在本地配置的密钥和模板带到云服务。
根据需要将新导入的模板转换为AIP标签。 将其余导入的模板存档。 根据需要配置其他 AIP 设置，并根据您所需的场景开始使用 AIP。
要将模板转换为标签，请使用以下命令，并确保为“EncryptionTemplateId”参数使用适当的值：
New-Label -Name TestLabel -EncryptionTemplateId 514a86b6-67ac-43e7-8682-f7e9d00bb7e7 -DisplayName TestLabel -ToolTip "This is a TestLabel" -EncryptionEnabled $true -EncryptionProtectionType Template 
6.    停用 AD RMS。
a)    备份 AD RMS 数据库并将其保存在安全的地方。
b)    制作 AD RMS TPD 的副本并将其保存在安全的地方，包括用于加密 TPD 的密码。
c)    确保 nCipher HSM 和管理/操作员卡的安全。
d)    关闭 AD RMS 并（可选）取消配置所有使用的服务器，前提是备份和密钥受到保护。
一旦确定需要执行云退出，请执行以下步骤：
1.    配置 AIP 以使用入职控制将所有组织用户置于“只读”状态（例如，使用空组进行入职）。
2.    备份原始 AD RMS 群集：
a)    将 AD RMS 数据库备份还原到最初使用的同名 SQL Server 实例中，并将新的 AD RMS 群集节点安装到数据库。
b)    如果您没有成功，或者您在准备阶段安装的原始 AD RMS 群集不能满足您的生产可扩展性或可支持性需求，您还可以安装新的 AD RMS 群集并导入之前导出的 TPD 文件。
c)    让 nCipher HSM 恢复运行并将其连接到 AD RMS 群集节点。 根据要求，可以使用更具可扩展性的 nCipher HSM（假设与 nCipher Security World 和为 BYOK 生成的密钥文件兼容）。
3.    调整 AD RMS 模板权限，确保它们与 AIP 上相应的标签权限匹配。 如果 AIP 标签中的权限是通过现代组（即未从本地 AD 同步的组）授予的，则需要执行其他步骤：在这种情况下，必须为相应的本地组配置与其云等效组相同的成员身份。 然后，将这些组分配给模板。 这将允许用户使用受初始配置期间创建的标签/模板保护的内容。
4.    配置客户端以使用将 AIP URL 指向 AD RMS 群集 URL 的许可重定向。 您应用用于从 AD RMS 迁移到 AIP 的相同设置，反转注册表中重定向 URL 的位置。 请注意，截至 2020 年 5 月，基于 MIP SDK 的应用程序不支持这些注册表覆盖。 这会影响例如 与 AIP 统一标签客户端或 Acrobat Reader DC 的 MIP 插件一起安装的 PowerShell cmdlet。
5.    使用 AD RMS 中的超级用户权限来使用受预配过程后创建的标签/模板保护的内容。
如果在上传 BYOK 并使其成为活动密钥之前任何文档已受到使用中的 MMK 的保护，则需要执行其他步骤。 在这种情况下，需要在本节讨论的云出口之上实现 MMK 云出口的过程（请参阅上一节）。 这确保了在上传 BYOK 之前受保护的文档在云退出后仍然可以打开。