Migración de cargas de trabajo clave
Azure Key Vault y Azure Managed HSM no permiten la exportación de claves, para proteger el material de la clave y asegurarse de que no se pueden cambiar las propiedades de HSM de las claves.
Si quiere que una clave ofrezca una gran portabilidad, es mejor crearla en un HSM compatible e importarla en Azure Key Vault o HSM administrado de Azure.
Nota:
La única excepción es si se crea una clave con una directiva de versión de clave que restringe las exportaciones a enclaves de proceso confidenciales en los que confía para controlar el material clave. Estas operaciones de clave segura no son exportaciones de uso general de la clave.
Hay varios escenarios que requieren la migración de cargas de trabajo clave:
- Cambiar los límites de seguridad, como cuando se cambia entre suscripciones, grupos de recursos o propietarios.
- Mover regiones debido a límites de cumplimiento o riesgos en una región determinada.
- Cambiar una nueva oferta, como Azure Key Vault a HSM administrado de Azure, que ofrece mayores niveles de seguridad, aislamiento y cumplimiento que Key Vault Premium.
A continuación se describen varios métodos para migrar cargas de trabajo para usar una nueva clave, ya sea en un nuevo almacén o en un nuevo HSM administrado.
Servicios de Azure que usan una clave administrada por el cliente
Para la mayoría de las cargas de trabajo que usan claves en Key Vault, la manera más eficaz de migrar una clave a una nueva ubicación (un nuevo HSM administrado o un nuevo almacén de claves en otra suscripción o región) tiene como finalidad:
- Crear una nueva clave en el nuevo almacén o HSM administrado.
- Garantizar que la carga de trabajo tenga acceso a esta nueva clave al agregar la identidad de la carga de trabajo al rol adecuado en Azure Key Vault o HSM administrado de Azure.
- Actualizar la carga de trabajo para usar la nueva clave como clave de cifrado administrada por el cliente.
- Mantener la clave antigua hasta que deje de necesitar las copias de seguridad de los datos de carga de trabajo protegidos originalmente.
Por ejemplo, para actualizar Azure Storage para usar una nueva clave, siga las instrucciones de Configuración de claves administradas por el cliente para una cuenta de almacenamiento existente: Azure Storage. La clave administrada por el cliente anterior es necesaria hasta que Storage se actualice a la nueva clave. Una vez que Storage se haya actualizado correctamente con la nueva clave, ya no se necesitará la clave anterior.
Aplicaciones personalizadas y cifrado de cliente
Para el cifrado de cliente o las aplicaciones personalizadas que ha creado, que cifran directamente los datos mediante las claves de Key Vault, el proceso es diferente:
- Crear el nuevo almacén de claves o HSM administrado, y una nueva clave de cifrado de claves (KEK).
- Volver a cifrar las claves o los datos cifrados con la clave antigua mediante la nueva clave. (Si los datos se cifraron directamente mediante la clave del almacén de claves, esto podría tardar algún tiempo, ya que todos los datos se deben leer, descifrar y cifrar con la nueva clave. Use el cifrado de sobre siempre que sea posible para que las rotaciones de claves sean más rápidas).
Al volver a cifrar los datos, se recomienda una jerarquía de claves de tres niveles, lo que facilitará la rotación de KEK en el futuro: 1. La clave de cifrado de claves en Azure Key Vault o HSM administrado 1. Clave principal 1. Claves de cifrado de datos derivadas de la clave principal
- Compruebe los datos después de la migración (y antes de la eliminación).
- No elimine la clave ni el almacén de claves antiguos hasta que deje de necesitar las copias de seguridad de los datos asociados a él.
Migración de claves de inquilino en Azure Information Protection
La migración de claves de inquilino en Azure Information Protection se conoce como "regeneración de clave" o "rotación de clave". Administrado por el cliente: Las operaciones del ciclo de vida de la clave de inquilino de AIP ofrece instrucciones detalladas sobre cómo realizar esta operación.
No se recomienda eliminar la clave de inquilino antigua hasta que deje de necesitar el contenido o los documentos protegidos con la clave de inquilino anterior. Si desea migrar documentos para que estén protegidos con la nueva clave, debe hacer lo siguiente:
- Quitar la protección del documento protegido con la clave de inquilino anterior.
- Volver a aplicar la protección, que usará la nueva clave de inquilino.