Sdílet prostřednictvím

Jak migrovat klíčové úlohy

  • Článek

Azure Key Vault a Azure Managed HSM neumožňují export klíčů, chránit materiál klíče a zajistit, aby vlastnosti HSM klíčů nebyly změněny.

Pokud chcete, aby byl klíč vysoce přenosný, je nejlepší ho vytvořit v podporovaném HSM a importovat ho do služby Azure Key Vault nebo spravovaného HSM Azure.

Poznámka:

Jedinou výjimkou je vytvoření klíče se zásadami vydávání klíčů, které omezují exporty do důvěrných výpočetních enkláv, kterým důvěřujete za účelem zpracování materiálu klíče. Takové zabezpečené operace klíče nejsou exportem klíče pro obecné účely.

Existuje několik scénářů, které vyžadují migraci klíčových úloh:

  • Přepínání hranic zabezpečení, například při přepínání mezi předplatnými, skupinami prostředků nebo vlastníky
  • Přesun oblastí kvůli hranicím dodržování předpisů nebo rizikům v dané oblasti
  • Změna na novou nabídku, například z Azure Key Vaultu na Azure Managed HSM, která nabízí větší zabezpečení, izolaci a dodržování předpisů než Key Vault Premium.

Níže probereme několik metod migrace úloh tak, aby používaly nový klíč, a to buď do nového trezoru, nebo do nového spravovaného HSM.

Služby Azure využívající klíč spravovaný zákazníkem

U většiny úloh, které používají klíče ve službě Key Vault, je nejúčinnějším způsobem, jak migrovat klíč do nového umístění (nový spravovaný HSM nebo nový trezor klíčů v jiném předplatném nebo oblasti).

  1. Vytvořte nový klíč v novém trezoru nebo spravovaném HSM.
  2. Ujistěte se, že má úloha přístup k tomuto novému klíči, a to přidáním identity úlohy do příslušné role ve službě Azure Key Vault nebo spravovaném HSM Azure.
  3. Aktualizujte úlohu tak, aby používala nový klíč jako šifrovací klíč spravovaný zákazníkem.
  4. Uchovávejte starý klíč, dokud už nechcete zálohovat data úloh, která jsou původně chráněná.

Pokud například chcete službu Azure Storage aktualizovat tak, aby používala nový klíč, postupujte podle pokynů v tématu Konfigurace klíčů spravovaných zákazníkem pro existující účet úložiště – Azure Storage. Předchozí klíč spravovaný zákazníkem je potřeba, dokud se služba Storage neaktualizuje na nový klíč; jakmile se úložiště úspěšně aktualizuje na nový klíč, předchozí klíč už není potřeba.

Vlastní aplikace a šifrování na straně klienta

U šifrování na straně klienta nebo vlastních aplikací, které jste vytvořili, které přímo šifrují data pomocí klíčů ve službě Key Vault, se tento proces liší:

  1. Vytvořte nový trezor klíčů nebo spravovaný HSM a vytvořte nový šifrovací klíč klíče (KEK).
  2. Znovu zašifrujte všechny klíče nebo data, která byla zašifrována starým klíčem pomocí nového klíče. (Pokud byl klíč v trezoru klíčů přímo zašifrován, může to nějakou dobu trvat, protože všechna data musí být přečtena, dešifrována a zašifrována pomocí nového klíče. Šifrování obálek používejte tam, kde je to možné, aby se tyto obměny klíčů urychlily).

Při opětovném šifrování dat doporučujeme hierarchii klíčů se třemi úrovněmi, která v budoucnu usnadní obměně klíčů KEK: 1. Šifrovací klíč klíče ve službě Azure Key Vault nebo spravovaný HSM 1. Primární klíč 1. Šifrovací klíče dat odvozené od primárního klíče

  1. Ověřte data po migraci (a před odstraněním).
  2. Neodstraňovat starý klíč nebo trezor klíčů, dokud už nebudete chtít zálohy dat přidružených k němu.

Migrace klíčů tenanta ve službě Azure Information Protection

Migrace klíčů tenanta ve službě Azure Information Protection se označuje jako "opětovné vytvoření klíče" nebo "vrácení klíče". Spravované zákazníkem – Operace životního cyklu klíče tenanta AIP obsahují podrobné pokyny k provedení této operace.

Starý klíč tenanta není bezpečné odstranit, dokud už nebudete potřebovat obsah nebo dokumenty chráněné starým klíčem tenanta. Pokud chcete migrovat dokumenty, které mají být chráněné novým klíčem, musíte:

  1. Odeberte ochranu z dokumentu chráněného starým klíčem tenanta.
  2. Znovu použijte ochranu, která bude používat nový klíč tenanta.

Další kroky