Správa klíčů spravovaných zákazníkem pro Azure Elastic SAN
Všechna data zapsaná do svazku Elastic SAN se automaticky šifrují neaktivní uložená data pomocí šifrovacího klíče dat (DEK). Sady Azure DEK jsou vždy spravované platformou (spravované Microsoftem). Azure používá šifrování obálek, označované také jako zabalení, což zahrnuje použití šifrovacího klíče klíče (KEK) k šifrování klíče DEK. Ve výchozím nastavení je klíč KEK spravovaný platformou, ale můžete vytvořit a spravovat vlastní klíč KEK. Klíče spravované zákazníkem nabízejí větší flexibilitu při správě řízení přístupu a můžou vám pomoct splnit požadavky vaší organizace na zabezpečení a dodržování předpisů.
Řídíte všechny aspekty šifrovacích klíčů klíčů, včetně těchto:
- Který klíč se používá
- Kde jsou vaše klíče uložené
- Jak se klíče otočí
- Možnost přepínat mezi klíči spravovanými zákazníkem a klíči spravovanými platformou
Tento článek vysvětluje, jak spravovat sady KEK spravované zákazníkem.
Poznámka:
Šifrování obálek umožňuje změnit konfiguraci klíče, aniž by to mělo vliv na svazky Elastic SAN. Když provedete změnu, služba Elastic SAN znovu zašifruje šifrovací klíče dat novými klíči. Ochrana šifrovacího klíče dat se změní, ale data ve svazcích Elastic SAN zůstanou zašifrovaná vždy. Z vaší strany nejsou vyžadovány žádné další kroky k zajištění ochrany vašich dat. Změna konfigurace klíče nemá vliv na výkon a k takové změně nejsou spojené žádné výpadky.
Omezení
Následující seznam obsahuje oblasti, ve kterých je v současné době k dispozici elastická síť SAN, a oblasti podporují zónově redundantní úložiště (ZRS) i místně redundantní úložiště (LRS) nebo pouze LRS:
- Jižní Afrika – sever - LRS
- Východní Asie – LRS
- Jihovýchodní Asie – LRS
- Brazílie – jih - LRS
- Kanada – střed – LRS
- Francie – střed - LRS a ZRS
- Německo – středozápad - LRS
- Austrálie – východ – LRS
- Severní Evropa – LRS a ZRS
- Západní Evropa – LRS a ZRS
- Velká Británie – jih – LRS
- Japonsko – východ – LRS
- Korea – střed – LRS
- USA – střed
- USA – východ – LRS
- USA – středojižní – LRS
- USA – východ 2 – LRS
- USA – západ 2 – LRS a ZRS
- USA – západ 3 – LRS
- Švédsko – střed – LRS
- Švýcarsko – sever - LRS
Změna klíče
Klíč, který používáte pro šifrování Azure Elastic SAN, můžete kdykoli změnit.
Pokud chcete změnit klíč pomocí PowerShellu, zavolejte Update-AzElasticSanVolumeGroup a zadejte název a verzi nového klíče. Pokud je nový klíč v jiném trezoru klíčů, musíte také aktualizovat identifikátor URI trezoru klíčů.
Pokud je nový klíč v jiném trezoru klíčů, musíte spravované identitě udělit přístup k klíči v novém trezoru. Pokud se rozhodnete pro ruční aktualizaci verze klíče, budete také muset aktualizovat identifikátor URI trezoru klíčů.
Aktualizace verze klíče
Následující kryptografické osvědčené postupy znamenají obměně klíče, který chrání vaši skupinu svazků Elastic SAN v pravidelných intervalech, obvykle nejméně každé dva roky. Azure Elastic SAN nikdy neupravuje klíč v trezoru klíčů, ale můžete nakonfigurovat zásadu obměny klíčů tak, aby klíč otáčel podle vašich požadavků na dodržování předpisů. Další informace najdete v tématu Konfigurace automatické obměny kryptografického klíče ve službě Azure Key Vault.
Po obměně klíče v trezoru klíčů je potřeba aktualizovat konfiguraci KEK spravovanou zákazníkem pro vaši skupinu svazků ELASTIC SAN, aby používala novou verzi klíče. Klíče spravované zákazníkem podporují automatickou i ruční aktualizaci verze KEK. Můžete se rozhodnout, který přístup chcete použít při počáteční konfiguraci klíčů spravovaných zákazníkem nebo při aktualizaci konfigurace.
Při úpravě klíče nebo verze klíče se ochrana kořenového šifrovacího klíče změní, ale data ve skupině svazků Azure Elastic SAN zůstanou zašifrovaná vždy. Na vaší straně není potřeba žádná další akce, která zajistí, že jsou vaše data chráněná. Obměně verze klíče nemá vliv na výkon a k obměně verze klíče není přidružený žádný výpadek.
Důležité
Pokud chcete klíč otočit, vytvořte v trezoru klíčů novou verzi klíče podle vašich požadavků na dodržování předpisů. Azure Elastic SAN nezpracovává obměnu klíčů, takže budete muset spravovat obměnu klíče v trezoru klíčů.
Když klíč použitý pro klíče spravované zákazníkem otočíte, tato akce se aktuálně nezaprotokoluje do protokolů služby Azure Monitor pro azure Elastic SAN.
Automatická aktualizace verze klíče
Pokud chcete automaticky aktualizovat klíč spravovaný zákazníkem, když je k dispozici nová verze, vynecháte verzi klíče, když povolíte šifrování pomocí klíčů spravovaných zákazníkem pro skupinu svazků Elastic SAN. Pokud je verze klíče vynechána, azure Elastic SAN denně zkontroluje trezor klíčů pro novou verzi klíče spravovaného zákazníkem. Pokud je k dispozici nová verze klíče, azure Elastic SAN automaticky použije nejnovější verzi klíče.
Azure Elastic SAN kontroluje trezor klíčů pro novou verzi klíče jen jednou denně. Při obměně klíče nezapomeňte před zakázáním starší verze počkat 24 hodin.
Pokud byla skupina svazků Elastic SAN dříve nakonfigurovaná pro ruční aktualizaci verze klíče a chcete ji změnit tak, aby se aktualizovala automaticky, možná budete muset explicitně změnit verzi klíče na prázdný řetězec. Podrobnosti o tom, jak to udělat, najdete v tématu Obměně ruční verze klíče.
Ruční aktualizace verze klíče
Pokud chcete pro šifrování Azure Elastic SAN použít konkrétní verzi klíče, zadejte tuto verzi klíče, když povolíte šifrování pomocí klíčů spravovaných zákazníkem pro skupinu svazků Elastic SAN. Pokud zadáte verzi klíče, azure Elastic SAN tuto verzi použije k šifrování, dokud ručně neaktualizujete verzi klíče.
Pokud je verze klíče explicitně zadaná, musíte ručně aktualizovat skupinu svazků Elastic SAN tak, aby při vytváření nové verze používala identifikátor URI nové verze klíče. Informace o tom, jak aktualizovat skupinu svazků Elastic SAN tak, aby používala novou verzi klíče, najdete v tématu Konfigurace šifrování pomocí klíčů spravovaných zákazníkem uložených ve službě Azure Key Vault.
Odvolání přístupu ke skupině svazků, která používá klíče spravované zákazníkem
Pokud chcete dočasně odvolat přístup ke skupině svazků Elastic SAN, která používá klíče spravované zákazníkem, zakažte klíč, který se aktuálně používá v trezoru klíčů. K zakázání a opětovnému zblížení klíče nemá žádný dopad na výkon ani výpadek.
Po zakázání klíče nemůžou klienti volat operace, které čtou nebo zapisují do svazků ve skupině svazků nebo jejich metadata.
Upozornění
Když klíč v trezoru klíčů zakážete, data ve skupině svazků Azure Elastic SAN zůstanou zašifrovaná, ale budou nepřístupná, dokud klíč znovu neschováte.
Pokud chcete odvolat klíč spravovaný zákazníkem pomocí PowerShellu , zavolejte příkaz Update-AzKeyVaultKey , jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami k definování proměnných nebo použít proměnné definované v předchozích příkladech.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Přepnutí zpět na klíče spravované platformou
Pomocí modulu Azure PowerShellu nebo Azure CLI můžete kdykoli přepnout z klíčů spravovaných zákazníkem zpět na klíče spravované platformou.
Pokud chcete přepnout z klíčů spravovaných zákazníkem zpět na klíče spravované platformou pomocí PowerShellu, zavolejte Update-AzElasticSanVolumeGroup s -Encryption možností, jak je znázorněno v následujícím příkladu. Nezapomeňte nahradit zástupné hodnoty vlastními hodnotami a použít proměnné definované v předchozích příkladech.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey