I dagens digitala era är det avgörande att säkerställa att dina känsligaste data är skyddade på bästa möjliga sätt. För att skydda dina känsliga data i Microsoft 365 finns det två kraftfulla verktyg att överväga: Microsoft Purview Information Protection och dubbel nyckelkryptering (DKE).
Dubbel nyckelkryptering (DKE) erbjuder en hög nivå av säkerhet och är speciellt utformad för att möta de strängaste skyddskraven. Men det är viktigt att notera att DKE inte är lämplig för alla typer av data. Det är vanligtvis bäst att använda denna krypteringsmetod för att skydda en begränsad delmängd.
Microsoft DKE är en lösning som ger kunder möjlighet att kryptera sina data i Microsoft365 med egna nycklar. Detta kan vara viktigt för kunder som har känsliga data som kräver hög säkerhet och kontroll. Microsoft DKE fungerar genom att kunden genererar och förvarar sina nycklar i en hårdvaruenhet som kallas HSM (Hardware Security Module).
När kunden vill komma åt sina data hos Microsoft, måste de först autentisera sig mot sin HSM-enheten och få tillgång till nycklarna. Sedan kan de dekryptera sina data med hjälp av nycklarna. På så sätt har kunden full kontroll över sina data och kan skydda dem mot obehörig åtkomst, även från Microsoft.
” DKE helps you meet regulatory requirements across several regulations and standards such as the General Data Protection Regulation (GDPR), the Health Insurance Portability and Accountability Act (HIPAA)”
Microsoft
DKE, eller Double Key Encryption, är en metod för att skydda känsliga data med hjälp av två nycklar. En nyckel lagras hos Microsoft och den andra hos kunden. För att läsa data måste båda nycklarna användas tillsammans. Detta ger kunden full kontroll över sin data och förhindrar att någon annan kan komma åt den utan kundens medgivande.
DKE har dock vissa begränsningar och används idag i mindre skala, framför allt av företag som anser sig ha mycket känsliga data. Till exempel kan DKE inte användas med vissa funktioner som kräver sökning, filtrering eller indexering av data eller genom det populära webapplikationer som Microsoft erbjuder. DKE kan också påverka prestandan och tillgängligheten av data. Därför är det viktigt att väga fördelarna och nackdelarna med DKE innan man väljer att implementera det.
Vilka applikationer i Microsoft kan använda sig av DKE?
En bra start och alternativ till DKE?
Med Microsoft Purview Information Protection kan du dra nytta av funktioner för klassificering och etikettering. Det innebär att du kan identifiera och märka dina känsliga data för att säkerställa rätt skyddsnivå. Detta passar bra för de flesta scenarier och ger dig också tillgång till en rad funktioner och tjänster inom Office 365.
Däremot, om du arbetar inom strikt reglerade branscher som finansiella tjänster eller hälso- och sjukvård, kan dubbel nyckelkryptering (DKE) vara mer relevant. Med DKE kan du säkerställa att endast du har förmågan att dekryptera ditt skyddade innehåll under alla omständigheter. Du behåller full kontroll över dina nycklar och undviker att ge Microsoft åtkomst till dina skyddade data.
Båda metoderna har sina fördelar och bör användas i rätt sammanhang, genom att välja rätt verktyg för att skydda din data kan du uppnå en balans mellan säkerhet och funktionalitet som bäst passar dina behov.
Sammanfattning
För att sammanfatta, det är viktigt att välja rätt skyddsmetod för dina känsliga data. Genom att använda Microsoft Purview Information Protection och dess funktioner för klassificering och etikettering kan du säkra de flesta av dina känsliga data på ett effektivt sätt. Denna metod passar väl för de flesta situationer och ger dig möjlighet att dra nytta av de kraftfulla tjänsterna som erbjuds av Office 365.
Å andra sidan, om du arbetar inom en strikt reglerad bransch som finansiella tjänster eller hälso- och sjukvård och har specifika krav för säkerhet och datahantering, kan dubbel nyckelkryptering (DKE) vara relevant för dig. DKE ger en extra nivå av säkerhet genom att endast du har möjlighet att dekryptera ditt skyddade innehåll under alla omständigheter.
Om du har regleringskrav som kräver att dina krypteringsnycklar ska lagras inom en specifik geografisk gräns, är DKE också en lämplig lösning. Genom att behålla alla nycklar för kryptering och dekryptering i ditt eget datacenter eller hos en driftleverantör i Sverige, då uppfyller du dessa krav och säkerställer fullständig kontroll över ditt innehåll.
Sammanfattningsvis handlar valet mellan Microsoft Purview Information Protection och DKE om att hitta rätt balans mellan säkerhet och funktionalitet för dina specifika behov. Använd Information Protection för att skydda de flesta känsliga data och spara DKE för de mest verksamhetskritiska och reglerade datamängderna.
När kan man ta full kontroll över krypteringsnycklarna i Microsoft?
I nuläget är det inte klart när Microsoft kommer att erbjuda en fullständig kontroll över krypteringsnycklarna till sin data. Vi tror dock att dubbel nyckelkryptering (DKE) kan vara ett steg i den riktningen och förberedande för en ”Hold Your Own Key” (HYOK) lösning där kunden har full kontroll och förvarar nyckeln till sin data och samtidigt får full funktion i sina tjänster.
Det är intressant att notera att andra stora molntjänstleverantörer som Google, AWS och Oracle Cloud redan erbjuder sina kunder möjligheten att skydda sin data med lokala nycklar. Vi tror att det bara är en tidsfråga innan Microsoft tillkännager liknande funktionalitet och ger kunder full kontroll.
Som organisation är det viktigt att fortsätta följa utvecklingen inom molntjänster och säkerhetslösningar. Genom att vara medveten om de senaste trenderna och innovationerna kan du fatta informerade beslut om vilka verktyg och tekniker som bäst passar dina behov och hjälper till att skydda dina känsliga data på bästa sätt.
Läs mer
Läs mer om HSM
Läs mer om kryptering och Azure