Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Kryptografieressourcen wie Zertifikate, Schlüssel und geheime Schlüssel weisen begrenzte Lebensdauer auf. Als bewährte Sicherheitspraktik sollten diese Ressourcen regelmäßig gewechselt werden, um das Risiko einer Kompromittierung zu verringern und die Einhaltung von Sicherheitsrichtlinien sicherzustellen. Azure Key Vault bietet Automatisierungsfunktionen zur Rotation dieser Ressourcen und unterstützt Organisationen dabei, ein starkes Sicherheitsniveau bei minimalem Betriebsaufwand aufrechtzuerhalten.
Was ist autorotation?
Autorotation ist der Prozess, kryptografische Ressourcen automatisch in vordefinierten Intervallen oder als Reaktion auf bestimmte Ereignisse durch neue zu ersetzen. In Azure Key Vault variieren die Autorotationsfunktionen je nach Ressourcentyp:
- Schlüssel: Automatische Generierung neuer Schlüsselversionen basierend auf konfigurierten Rotationsrichtlinien
- Geheime Schlüssel: Ereignisgesteuerte Updates geheimer Schlüssel mit Integration in die Systeme, die sie verwenden
- Zertifikate: Automatische Verlängerung von Zertifikaten vor Ablauf
Vorteile der Autorotation
Die Implementierung von Autorotation für Ihre kryptografischen Ressourcen bietet mehrere Vorteile:
- Verbesserte Sicherheit: Regelmäßige Drehung kryptografischer Materialien reduziert das Risiko einer Kompromittierung
- Vereinfachte Compliance: Einhaltung gesetzlicher und organisatorischer Anforderungen für die Verwaltung kryptografischer Ressourcenlebenszyklus
- Betriebliche Effizienz: Verringern des manuellen Aufwands und des Risikos von menschlichem Fehler bei Drehungsprozessen
- Reduzierte Ausfallzeiten: Proaktive Rotationen vor Ablauf verhindern Dienstunterbrechungen
- Skalierbare Verwaltung: Automatisieren der Rotation über mehrere Ressourcen und Dienste hinweg
Autorotation für verschiedene Objekttypen
Schlüsselautorotation
Schlüssel in Azure Key Vault können mit Rotationsrichtlinien konfiguriert werden, die automatisch neue Schlüsselversionen mit bestimmten Frequenzen generieren. Dies ist nützlich für Schlüssel, die als vom Kunden verwaltete Schlüssel (CMKs) in Azure-Diensten verwendet werden.
Die Schlüsselautorotation unterstützt:
- Konfigurierbare Drehintervalle (mindestens sieben Tage)
- Bald ablaufende Benachrichtigungen via Event Grid
- On-Demand-Rotation zusätzlich zur geplanten Rotation
- Integration mit Azure-Diensten mithilfe von CMKs
Erfahren Sie, wie Sie die Autorotation von Schlüsseln in Azure Key Vault konfigurieren.
Geheimnisautorotation
Geheimnisse in Azure Key Vault können für die automatische Rotation mithilfe von Azure-Funktionen konfiguriert werden, die durch Ereignis-Grid-Ereignisse ausgelöst werden. Dies ist nützlich für Datenbankanmeldeinformationen, API-Schlüssel und andere vertrauliche Informationen, die regelmäßige Updates erfordern.
Die Geheimnisautorotation unterstützt:
- Ereignisbasiertes Auslösen über das Ereignisraster
- Integration in Azure-Funktionen für benutzerdefinierte Drehlogik
- Benachrichtigungen zu bald ablaufenden Geheimnissen für manuelle Rotationserinnerungen
- Aktualisieren abhängiger Dienste mit neuen Geheimniswerten
Azure Key Vault unterstützt zwei Geheimnisrotationszenarien:
- Erfahren Sie, wie Sie die geheime Autorotation für Ressourcen mit einer Gruppe von Authentifizierungsanmeldeinformationen implementieren.
- Erfahren Sie, wie Sie die geheime Autorotation für Ressourcen mit zwei Gruppen von Authentifizierungsanmeldeinformationen implementieren.
Automatische Zertifikatrotation
Zertifikate, die in Azure Key Vault gespeichert sind, können automatisch verlängert werden, bevor sie ablaufen. Key Vault verarbeitet die Zertifikaterneuerung mit integrierten Zertifizierungsstellen (CAs) oder über die selbstsignierte Zertifikatregenerierung.
Die Zertifikatsautorotation unterstütz:
- Konfiguration von Gültigkeitszeiträumen
- Automatische Verlängerung zu einem festgelegten Prozentsatz der Laufzeit oder Tage vor dem Ablauf.
- E-Mail-Benachrichtigungen für den Ablauf von Zertifikaten
- Integration mit Zertifizierungsstellen wie DigiCert und GlobalSign
Erfahren Sie, wie Sie die Autorotation von Zertifikaten in Azure Key Vault konfigurieren.
Bewährte Methoden für die Autorotation
Berücksichtigen Sie bei der Implementierung von Autorotation in Azure Key Vault die folgenden bewährten Methoden:
- Versionsverwaltung verwenden: Stellen Sie sicher, dass Systeme automatisch auf die neueste Version eines Schlüssels, zertifikats oder geheimen Schlüssels verweisen.
- Implementieren der richtigen Zugriffssteuerungen: Verwenden sie Azure RBAC, um zu steuern, wer Drehungsrichtlinien konfigurieren kann
- Überwachen von Drehungsereignissen: Einrichten von Benachrichtigungen und Warnungen für erfolgreiche und fehlgeschlagene Drehungen
- Testen von Rotationsverfahren: Überprüfen, ob abhängige Systeme rotierte Assets ordnungsgemäß verarbeiten können.
- Konfigurieren geeigneter Drehfrequenzen: Ausgleich der Sicherheitsanforderungen mit betrieblichen Überlegungen
- Fallbackprozeduren für Dokumente: Manuelle Drehungsprozesse für Notfallszenarien dokumentieren
- Befolgen Sie bewährte Methoden für die Sicherheit: Implementieren Sie umfassende Sicherheitsmaßnahmen, wie in Secure Your Azure Key Vault beschrieben.
Häufige Autorotationsszenarien
Vom Kunden verwaltete Schlüssel für Azure-Dienste
Viele Azure-Dienste unterstützen die Verschlüsselung mit vom Kunden verwalteten Schlüsseln, die im Key Vault gespeichert sind. Wenn diese Schlüssel für die automatischeRotation konfiguriert sind, verwenden die Dienste automatisch die neueste Schlüsselversion für neue Verschlüsselungsvorgänge, während der Zugriff auf mit früheren Versionen verschlüsselte Daten beibehalten wird.
Datenbank-Anmeldeinformationen
Datenbankanmeldeinformationen, die als geheime Schlüssel im Key Vault gespeichert sind, können automatisch mit Funktions-Apps gedreht werden, die nicht nur den geheimen Schlüssel im Key Vault aktualisieren, sondern auch die neuen Anmeldeinformationen auf die Datenbank anwenden.
API-Schlüssel und Dienstanmeldeinformationen
Die Autorotation von API-Schlüsseln und Dienstanmeldeinformationen trägt dazu bei, die Sicherheit aufrechtzuerhalten, indem die Lebensdauer dieser vertraulichen Ressourcen eingeschränkt wird. Durch die Implementierung der Rotation mit Azure Functions können sowohl der Key Vault als auch die Zieldienste aktualisiert werden.
Nächste Schritte
- Konfigurieren der autorotation von kryptografischen Schlüsseln in Azure Key Vault
- Konfigurieren der Autorotation von Zertifikaten im Key Vault
- Automatisieren der Rotation eines Geheimnisses für Ressourcen mit einer Gruppe von Authentifizierungsanmeldeinformationen
- Über Azure Key Vault
- Schlüsselverwaltung in Azure