Konfigurace automatické obměny kryptografických klíčů ve službě Azure Key Vault
Článek
Přehled
Automatizovaná obměně kryptografických klíčů ve službě Key Vault umožňuje uživatelům nakonfigurovat službu Key Vault tak, aby automaticky vygenerovala novou verzi klíče zadanou frekvencí. Ke konfiguraci obměny můžete použít zásady obměny klíčů, které je možné definovat pro jednotlivé klíče.
V rámci osvědčených postupů z hlediska kryptografie doporučujeme obměňovat šifrovací klíče alespoň každé dva roky.
Tato funkce umožňuje kompletní obměnu nulového dotyku pro šifrování neaktivních uložených uložených dat pro služby Azure s klíčem spravovaným zákazníkem (CMK) uloženým ve službě Azure Key Vault. Pokud chcete zjistit, jestli konkrétní služba Azure zajišťuje kompletní obměnu, projděte si dokumentaci k dané službě.
Další informace o šifrování dat v Azure najdete tady:
Funkce obměny klíčů key Vault vyžaduje oprávnění ke správě klíčů. Ke správě zásad obměny a obměny na vyžádání můžete přiřadit roli kryptografického důstojníka služby Key Vault.
Pokud používáte model oprávnění zásad přístupu, je potřeba nastavit oprávnění "Otočit", Nastavit zásady obměna a Získat zásady obměna pro správu zásad obměna u klíčů.
Zásady obměně klíčů
Zásady obměně klíčů umožňují uživatelům konfigurovat obměně a oznámení Event Gridu v blízkosti oznámení o vypršení platnosti.
Nastavení zásad obměna klíčů:
Doba vypršení platnosti: interval vypršení platnosti klíče. Slouží k nastavení data vypršení platnosti u nově otočeného klíče. Nemá vliv na aktuální klíč.
Povoleno/zakázáno: Příznak pro povolení nebo zakázání obměně klíče
Typy otočení:
Automatické prodlužování v daném okamžiku po vytvoření (výchozí)
Automatické prodlužování v daném čase před vypršením platnosti. Vyžaduje nastavenou hodnotu Doba vypršení platnosti pro zásady obměně a Datum vypršení platnosti nastavená na klíč.
Doba otočení: interval obměně klíče, minimální hodnota je sedm dnů od vytvoření a sedm dnů od vypršení platnosti
Čas oznámení: Interval události blížící se vypršení platnosti pro oznámení event Gridu. Vyžaduje nastavenou hodnotu Doba vypršení platnosti pro zásady obměně a Datum vypršení platnosti nastavená na klíč.
Důležité
Obměně klíčů generuje novou verzi klíče existujícího klíče s novým materiálem klíče. Cílové služby by měly používat identifikátor URI klíče bez verzí k automatické aktualizaci na nejnovější verzi klíče. Ujistěte se, že vaše řešení šifrování dat ukládá identifikátor URI klíče verze s daty tak, aby odkazoval na stejný materiál klíče pro dešifrování/rozbalení, jako byl použit pro operace šifrování a zabalení, aby nedošlo k přerušení služeb. Všechny služby Azure v současné době sledují tento model šifrování dat.
Konfigurace zásad obměně klíčů
Nakonfigurujte zásady obměně klíčů během vytváření klíče.
Nakonfigurujte zásady obměně u existujících klíčů.
Azure CLI
Uložte zásady obměně klíčů do souboru. Příklad zásad obměně klíčů:
Konfigurace oznámení o blížícím se vypršení platnosti klíče
Konfigurace oznámení o vypršení platnosti klíče Event Gridu poblíž události vypršení platnosti V případě, že automatizované obměně nelze použít, například když je klíč importován z místního HSM, můžete nakonfigurovat oznámení o blížícím se vypršení platnosti jako připomenutí pro ruční obměnu nebo jako trigger pro vlastní automatizované obměně prostřednictvím integrace se službou Event Grid. Můžete nakonfigurovat oznámení s dny, měsíci a roky před vypršením platnosti, aby se aktivovala téměř událost vypršení platnosti.
Zásady obměně klíčů je také možné nakonfigurovat pomocí šablon ARM.
Poznámka
Vyžaduje roli Přispěvatel služby Key Vault ve službě Key Vault nakonfigurovanou pomocí Azure RBAC k nasazení klíče prostřednictvím roviny správy.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vaultName": {
"type": "String",
"metadata": {
"description": "The name of the key vault to be created."
}
},
"keyName": {
"type": "String",
"metadata": {
"description": "The name of the key to be created."
}
},
"rotatationTimeAfterCreate": {
"defaultValue": "P18M",
"type": "String",
"metadata": {
"description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
}
},
"expiryTime": {
"defaultValue": "P2Y",
"type": "String",
"metadata": {
"description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
}
},
"notifyTime": {
"defaultValue": "P30D",
"type": "String",
"metadata": {
"description": "Near expiry Event Grid notification. i.e. P30D"
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2021-06-01-preview",
"name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
"location": "[resourceGroup().location]",
"properties": {
"vaultName": "[parameters('vaultName')]",
"kty": "RSA",
"rotationPolicy": {
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
"timeBeforeExpiry": ""
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "[parameters('notifyTime')]"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "[parameters('expiryTime')]"
}
}
}
}
]
}
Konfigurace zásad správného řízení zásad obměně klíčů
Pomocí služby Azure Policy můžete řídit životní cyklus klíče a zajistit, aby se všechny klíče konfigurovaly tak, aby se obměňovaly během zadaného počtu dnů.
Vytvoření a přiřazení definice zásady
Přejděte k prostředku zásad.
V části Vytváření na levé straně stránky Azure Policy vyberte Přiřazení.
V horní části stránky vyberte Přiřadit zásadu . Toto tlačítko se otevře na stránce Přiřazení zásad.
Zadejte následující informace:
Definujte rozsah zásad tak, že zvolíte předplatné a skupinu prostředků, u kterých se zásada vynutí. Vyberte kliknutím na tlačítko se třemi tečky v poli Obor .
Přejděte na kartu Parametry v horní části stránky.
Nastavte maximální počet dnů pro otočení parametru na požadovaný počet dní, například 730.
Definujte požadovaný účinek zásady (Audit nebo Zakázáno).
Vyplňte všechna další pole. Přejděte na karty, na která v dolní části stránky kliknete na tlačítka Předchozí a Další .
Vyberte Zkontrolovat a vytvořit.
Vyberte příkaz Vytvořit.
Po přiřazení předdefinované zásady může trvat až 24 hodin, než se kontrola dokončí. Po dokončení kontroly uvidíte výsledky dodržování předpisů, jako je níže.
In this module, you learn about essential concepts for using encryption keys and digital certificates in Azure to help secure cloud workloads and ensure data sovereignty.
Demonstrate the skills needed to implement security controls, maintain an organization’s security posture, and identify and remediate security vulnerabilities.