مشاركة عبر

كيفية ترحيل أحمال العمل الرئيسية

  • مقالة

لا يسمح Azure Key Vault وAzure Managed HSM بتصدير المفاتيح، لحماية المواد الرئيسية والتأكد من أنه لا يمكن تغيير خصائص HSM للمفاتيح.

إذا كنت تريد أن يكون المفتاح محمولا للغاية، فمن الأفضل إنشاؤه في HSM مدعوم واستيراده إلى Azure Key Vault أو Azure Managed HSM.

إشعار

الاستثناء الوحيد هو إذا تم إنشاء مفتاح بسياسة إصدار مفتاح تقيد الصادرات إلى جيوب الحوسبة السرية التي تثق بها للتعامل مع المواد الرئيسية. هذه العمليات الرئيسية الآمنة ليست عمليات تصدير للأغراض العامة للمفتاح.

هناك العديد من السيناريوهات التي تتطلب ترحيل أحمال العمل الرئيسية:

  • تبديل حدود الأمان، مثل عند التبديل بين الاشتراكات أو مجموعات الموارد أو المالكين.
  • نقل المناطق بسبب حدود التوافق أو المخاطر في منطقة معينة.
  • التغيير إلى عرض جديد، مثل من Azure Key Vault إلى Azure Managed HSM، والذي يوفر أمانا وعزلا وتوافقا أكبر من Key Vault Premium.

نناقش أدناه عدة طرق لترحيل أحمال العمل لاستخدام مفتاح جديد، إما إلى مخزن جديد أو إلى HSM مدار جديد.

خدمات Azure باستخدام مفتاح مدار من قبل العميل

بالنسبة لمعظم أحمال العمل التي تستخدم المفاتيح في Key Vault، فإن الطريقة الأكثر فعالية لترحيل مفتاح إلى موقع جديد (HSM مدار جديد أو مخزن مفاتيح جديد في اشتراك أو منطقة مختلفة) هي:

  1. إنشاء مفتاح جديد في المخزن الجديد أو HSM المدار.
  2. تأكد من أن حمل العمل لديه حق الوصول إلى هذا المفتاح الجديد، عن طريق إضافة هوية حمل العمل إلى الدور المناسب في Azure Key Vault أو Azure Managed HSM.
  3. قم بتحديث حمل العمل لاستخدام المفتاح الجديد كمفتاح تشفير مدار من قبل العميل.
  4. احتفظ بالمفتاح القديم حتى لا تحتاج إلى النسخ الاحتياطية لبيانات حمل العمل التي تم حمايتها في الأصل.

على سبيل المثال، لتحديث Azure Storage لاستخدام مفتاح جديد، اتبع الإرشادات الموجودة في تكوين المفاتيح المدارة من قبل العميل لحساب تخزين موجود - Azure Storage. المفتاح المدار للعميل السابق مطلوب حتى يتم تحديث التخزين إلى المفتاح الجديد؛ بمجرد تحديث التخزين بنجاح إلى المفتاح الجديد، لم تعد هناك حاجة إلى المفتاح السابق.

التطبيقات المخصصة والتشفير من جانب العميل

بالنسبة للتشفير من جانب العميل أو التطبيقات المخصصة التي قمت ببنائها، والتي تقوم بتشفير البيانات مباشرة باستخدام المفاتيح في Key Vault، تختلف العملية:

  1. إنشاء مخزن مفاتيح جديد أو HSM مدار، وإنشاء مفتاح تشفير مفتاح جديد (KEK).
  2. أعد تشفير أي مفاتيح أو بيانات تم تشفيرها بواسطة المفتاح القديم باستخدام المفتاح الجديد. (إذا تم تشفير البيانات مباشرة بواسطة المفتاح في مخزن المفاتيح، فقد يستغرق ذلك بعض الوقت، حيث يجب قراءة جميع البيانات وفك تشفيرها وتشفيرها باستخدام المفتاح الجديد. استخدم تشفير المغلفات حيثما أمكن لجعل عمليات تدوير المفاتيح هذه أسرع).

عند إعادة تشفير البيانات، نوصي بتدرج هرمي من ثلاثة مستويات للمفتاح، مما سيجعل تدوير KEK أسهل في المستقبل: 1. مفتاح تشفير المفتاح في Azure Key Vault أو HSM 1 المدار. المفتاح الأساسي 1. مفاتيح تشفير البيانات المشتقة من المفتاح الأساسي

  1. تحقق من البيانات بعد الترحيل (وقبل الحذف).
  2. لا تحذف key/key vault القديمة حتى لا تحتاج إلى النسخ الاحتياطية للبيانات المقترنة به.

ترحيل مفاتيح المستأجر في Azure حماية البيانات

يشار إلى ترحيل مفاتيح المستأجر في Azure حماية البيانات باسم "إعادة مفتاح" أو "المتداول مفتاحك". يديرها العميل - تحتوي عمليات دورة حياة مفتاح مستأجر AIP على إرشادات مفصلة حول كيفية تنفيذ هذه العملية.

ليس من الآمن حذف مفتاح المستأجر القديم حتى لم تعد بحاجة إلى المحتوى أو المستندات المحمية باستخدام مفتاح المستأجر القديم. إذا كنت تريد ترحيل المستندات لتكون محمية بواسطة المفتاح الجديد، فيجب عليك:

  1. إزالة الحماية من المستند المحمي باستخدام مفتاح المستأجر القديم.
  2. تطبيق الحماية مرة أخرى، والتي ستستخدم مفتاح المستأجر الجديد.

الخطوات التالية