Verwalten kundenseitig verwalteter Schlüssel für Azure Elastic SAN
Alle Daten, die in ein Elastic SAN-Volume geschrieben wurden, werden automatisch mit einem Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verschlüsselt. Azure-DEKs werden immer plattformverwaltet (von Microsoft verwaltet). Azure verwendet Umschlagverschlüsselung, die auch als Umbrechen bezeichnet wird. Dazu gehört die Verwendung eines Schlüsselverschlüsselungsschlüssels (Key Encryption Key, KEK), um den DEK zu verschlüsseln. Standardmäßig ist der KEK plattformverwaltet, sie können aber Ihren eigenen KEK erstellen und verwalten. Kundenseitig verwaltete Schlüssel bieten eine größere Flexibilität beim Verwalten von Zugriffssteuerungen und können Ihnen dabei helfen, die Sicherheits- und Complianceanforderungen Ihrer Organisation zu erfüllen.
Sie steuern alle Aspekte Ihrer Schlüsselverschlüsselungsschlüssel, einschließlich:
- Welcher Schlüssel verwendet wird
- Wo Ihre Schlüssel gespeichert werden
- Wie die Schlüssel rotiert werden
- Die Möglichkeit, zwischen kundenseitig verwalteten und plattformverwalteten Schlüsseln zu wechseln
In diesem Artikel erfahren Sie, wie Sie Ihre kundenseitig verwalteten KEKs verwalten.
Hinweis
Mit der Umschlagverschlüsselung können Sie Ihre Schlüsselkonfiguration ändern, ohne dass sich dies auf Ihre Elastic SAN-Volumes auswirkt. Wenn Sie eine Änderung vornehmen, verschlüsselt der Elastic SAN-Dienst die Datenverschlüsselungsschlüssel mit den neuen Schlüsseln neu. Der Schutz des Datenverschlüsselungsschlüssels ändert sich, aber die Daten in Ihren Elastic SAN-Volumes bleiben jederzeit verschlüsselt. Es sind keine weiteren Maßnahmen Ihrerseits erforderlich, um den Schutz Ihrer Daten zu gewährleisten. Das Ändern der Schlüsselkonfiguration wirkt sich nicht auf die Leistung aus, und es gibt keine Ausfallzeiten in Verbindung mit einer solchen Änderung.
Begrenzungen
Die folgende Liste enthält die Regionen, in denen Elastic SAN derzeit verfügbar ist, und zeigt, in welchen Regionen zonenredundanter Speicher (ZRS) sowie lokal redundanter Speicher (LRS) oder nur LRS unterstützt wird:
- Südafrika, Norden - LRS
- Ostasien - LRS
- Asien, Südosten – LRS
- Brasilien, Süden - LRS
- Kanada, Mitte - LRS
- Frankreich, Mitte – LRS und ZRS
- Deutschland, Westen-Mitte - LRS
- Australien, Osten: LRS
- Europa, Norden – LRS und ZRS
- Europa, Westen – LRS und ZRS
- Vereinigtes Königreich, Süden: LRS
- Japan, Osten - LRS
- Südkorea, Mitte - LRS
- USA (Mitte)
- USA, Osten: LRS
- USA, Süden-Mitte: LRS
- USA, Osten 2: LRS
- USA, Westen 2 – LRS und ZRS
- USA, Westen 3: LRS
- Schweden, Mitte: LRS
- Schweiz, Norden - LRS
Ändern des Schlüssels
Sie können den Schlüssel, den Sie für die Azure Elastic SAN-Verschlüsselung verwenden, jederzeit ändern.
Um den Schlüssel mit PowerShell zu ändern, rufen Sie Update-AzElasticSanVolumeGroup auf und geben Sie den neuen Schlüsselnamen und die neue Version an. Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie auch den Schlüsseltresor-URI aktualisieren.
Wenn sich der neue Schlüssel in einem anderen Schlüsseltresor befindet, müssen Sie der verwalteten Identität Zugriff auf den Schlüssel im neuen Tresor gewähren. Wenn Sie sich für die manuelle Aktualisierung der Schlüsselversion entscheiden, müssen Sie auch den Schlüsseltresor-URI aktualisieren.
Aktualisieren der Schlüsselversion
Das Befolgen kryptografischer bewährter Methoden bedeutet, den Schlüssel, der Ihre Elastic SAN-Volumegruppe schützt, in regelmäßigen Abständen, in der Regel mindestens alle zwei Jahre, zu rotieren. Azure Elastic SAN ändert den Schlüssel im Schlüsseltresor nie, Sie können jedoch eine Schlüsselrotationsrichtlinie konfigurieren, um den Schlüssel entsprechend Ihren Complianceanforderungen zu rotieren. Weitere Informationen finden Sie unter Konfigurieren der automatischen Kryptografieschlüsselrotation in Azure Key Vault.
Nachdem der Schlüssel im Schlüsseltresor rotiert wurde, muss die kundenseitig verwaltete KEK-Konfiguration für Ihre Elastic SAN-Volumegruppe aktualisiert werden, um die neue Schlüsselversion zu verwenden. Kundenseitig verwaltete Schlüssel unterstützen sowohl die automatische als auch die manuelle Aktualisierung der KEK-Version. Sie können entscheiden, welchen Ansatz Sie verwenden möchten, wenn Sie kundenseitig verwaltete Schlüssel erstmals konfigurieren oder ihre Konfiguration aktualisieren.
Wenn Sie den Schlüssel oder die Schlüsselversion ändern, ändert sich der Schutz des Stammverschlüsselungsschlüssels, die Daten in Ihrer Azure Elastic SAN-Volumegruppe bleiben jedoch jederzeit verschlüsselt. Es sind keine zusätzlichen Maßnahmen Ihrerseits erforderlich, um sicherzustellen, dass Ihre Daten geschützt sind. Das Rotieren der Schlüsselversion wirkt sich nicht auf die Leistung aus, und es gibt keine Ausfallzeiten, die mit dem Rotieren der Schlüsselversion verbunden sind.
Wichtig
Um einen Schlüssel zu rotieren, erstellen Sie eine neue Version des Schlüssels im Schlüsseltresor entsprechend Ihren Complianceanforderungen. Azure Elastic SAN behandelt die Schlüsseldrehung nicht, somit müssen Sie die Drehung des Schlüssels im Schlüsseltresor verwalten.
Wenn Sie den Schlüssel rotieren, der für kundenseitig verwaltete Schlüssel verwendet wird, wird diese Aktion derzeit nicht in den Azure Monitor-Protokollen für Azure Elastic SAN protokolliert.
Automatisches Update der Schlüsselversion
Um einen kundenseitig verwalteten Schlüssel bei Verfügbarkeit einer neuen Version automatisch zu aktualisieren, lassen Sie die Schlüsselversion aus, wenn Sie die Verschlüsselung mit kundenseitig verwalteten Schlüsseln für die Elastic SAN-Volumegruppe konfigurieren. Wenn die Schlüsselversion weggelassen wird, wird der Schlüsseltresor täglich von Azure Elastic SAN auf eine neue Version eines kundenseitig verwalteten Schlüssels überprüft. Falls eine neue Schlüsselversion verfügbar ist, nutzt Azure Elastic SAN automatisch die neueste Version des Schlüssels.
Azure Elastic SAN überprüft den Schlüsseltresor nur einmal täglich auf eine neue Schlüsselversion. Wenn Sie einen Schlüssel drehen, warten Sie 24 Stunden, bevor Sie die ältere Version deaktivieren.
Wenn die Elastic SAN-Volumegruppe zuvor für die manuelle Aktualisierung der Schlüsselversion konfiguriert wurde und Sie dies in ein automatisches Update ändern möchten, müssen Sie die Schlüsselversion möglicherweise explizit in eine leere Zeichenfolge ändern. Ausführliche Informationen dazu finden Sie unter Manuelles Rotieren der Schlüsselversion.
Manuelles Aktualisieren der Schlüsselversion
Zur Verwendung einer bestimmten Version eines Schlüssels für die Azure Elastic SAN-Verschlüsselung geben Sie diese Schlüsselversion beim Aktivieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln für die Elastic SAN-Volumegruppe an. Wenn Sie die Schlüsselversion angeben, verwendet Azure Elastic SAN diese Version für die Verschlüsselung, bis Sie die Schlüsselversion manuell aktualisieren.
Wenn die Schlüsselversion direkt angegeben wird, müssen Sie die Elastic SAN-Volumegruppe manuell für die Verwendung des neuen Schlüsselversions-URI aktualisieren, nachdem eine neue Version erstellt wurde. Informationen zum Aktualisieren der Elastic SAN-Volumegruppe zur Verwendung einer neuen Version des Schlüssels finden Sie unter Konfigurieren der Verschlüsselung mit kundenseitig verwalteten Schlüsseln, die in Azure Key Vault gespeichert sind.
Widerrufen des Zugriffs auf eine Volumegruppe, die kundenseitig verwaltete Schlüssel verwendet
Wenn Sie den Zugriff auf eine Elastic SAN-Volumegruppe, die kundenseitig verwaltete Schlüssel verwendet, vorübergehend widerrufen möchten, deaktivieren Sie den Schlüssel, der im Schlüsseltresor zurzeit verwendet wird. Das Deaktivieren und erneute Aktivieren des Schlüssels wirkt sich nicht auf die Leistung aus und verursacht keine Downtime.
Nachdem der Schlüssel deaktiviert wurde, können Clients keine Vorgänge aufrufen, die aus Volumes in der Volumegruppe oder deren Metadaten lesen oder in sie schreiben.
Achtung
Wenn Sie den Schlüssel im Schlüsseltresor deaktivieren, bleiben die Daten in Ihrer Azure Elastic SAN-Volumegruppe verschlüsselt, sind jedoch nicht zugänglich, bis Sie den Schlüssel erneut aktivieren.
Zum Widerrufen eines kundenseitig verwalteten Schlüssels mit PowerShell rufen Sie den Befehl Update-AzKeyVaultKey auf, wie im folgenden Beispiel gezeigt wird. Denken Sie daran, zum Definieren der Variablen die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen, oder verwenden Sie die in den vorhergehenden Beispielen definierten Variablen.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Zurück zu plattformverwalteten Schlüsseln wechseln
Sie können jederzeit von kundenseitig verwalteten Schlüsseln zurück zu plattformverwalteten Schlüsseln wechseln, indem Sie das Azure PowerShell-Modul oder Azure CLI verwenden.
Um mit PowerShell von kundenseitig verwalteten Schlüsseln zurück zu plattformverwalteten Schlüsseln zu wechseln, rufen Sie Update-AzElasticSanVolumeGroup mit der -Encryption-Option auf, wie im folgenden Beispiel gezeigt. Denken Sie daran, die Platzhalterwerte in Klammern durch Ihre eigenen Werte zu ersetzen und die in den vorherigen Beispielen definierten Variablen zu verwenden.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey