Partage via


Comment effectuer la migration des charges de travail clés

Azure Key Vault et le HSM managé Azure n’autorisent pas l’exportation de clés afin de protéger le matériel clé et de garantir que les propriétés HSM des clés ne pourront pas être modifiées.

Si vous souhaitez qu’une clé soit hautement portable, il est préférable de la créer dans un HSM pris en charge et de l’importer dans Azure Key Vault ou dans le HSM managé Azure.

Notes

La seule exception concerne les clés créées avec une stratégie de mise en production de clé limitant les exportations vers les enclaves de calcul confidentielles que vous avez approuvées pour gérer le matériel clé. Ces opérations de clé sécurisée ne sont pas des exportations de clé à usage général.

Il existe plusieurs scénarios qui nécessitent la migration de charges de travail de clés :

  • Changement des limites de sécurité, par exemple lorsque vous basculez entre des abonnements, des groupes de ressources ou des propriétaires.
  • Déplacement vers une autre région en raison de limites ou de risques de conformité dans une région donnée.
  • Passage à une nouvelle offre, par exemple d’Azure Key Vault vers le HSM managé Azure, qui offre une sécurité, une isolation et une conformité supérieures à celles proposées par Key Vault Premium.

Ci-dessous, nous abordons plusieurs méthodes de migration des charges de travail en vue d’utiliser une nouvelle clé, soit dans un nouveau coffre, soit dans un nouveau HSM managé.

Services Azure utilisant une clé gérée par le client

Pour la plupart des charges de travail qui utilisent des clés dans Key Vault, le moyen le plus efficace de migrer une clé vers un nouvel emplacement (un nouveau HSM managé ou un nouveau coffre de clés situé dans un autre abonnement ou une autre région) consiste à :

  1. Créer une clé dans le nouveau coffre ou le nouveau HSM managé.
  2. Vérifier que la charge de travail a accès à cette nouvelle clé en ajoutant l’identité de la charge de travail au rôle approprié dans Azure Key Vault ou le HSM managé Azure.
  3. Mettre à jour la charge de travail pour utiliser la nouvelle clé comme clé de chiffrement gérée par le client.
  4. Conserver l’ancienne clé jusqu’à ce que vous n’ayez plus besoin des sauvegardes de données de charge de travail que la clé protégeait à l’origine.

Par exemple, pour mettre à jour le Stockage Azure en vue d’utiliser une nouvelle clé, suivez les instructions fournies dans Configurer des clés gérées par le client pour un compte de stockage existant - Stockage Azure. La précédente clé gérée par le client est nécessaire jusqu’à ce que le stockage soit mis à jour vers la nouvelle clé. Une fois que le stockage a été correctement mis à jour vers la nouvelle clé, la clé précédente n’est plus nécessaire.

Applications personnalisées et chiffrement côté client

Pour le chiffrement côté client ou les applications personnalisées que vous avez créées, qui chiffrent directement les données à l’aide des clés dans Key Vault, le processus est différent :

  1. Créez le nouveau coffre de clés ou le nouveau HSM managé, puis créez une clé de chiffrement principale (KEK).
  2. Rechiffrez toutes les clés ou données chiffrées par l’ancienne clé à l’aide de la nouvelle clé. (Si les données ont été directement chiffrées par la clé dans le coffre de clés, cela peut prendre un certain temps, car toutes les données doivent être lues, déchiffrées puis chiffrées avec la nouvelle clé. Utilisez le chiffrement d’enveloppe si possible pour accélérer les rotations de clé).

Lors du rechiffrage des données, nous recommandons une hiérarchie de clés à trois niveaux, ce qui facilitera la rotation des KEK à l’avenir : 1. Clé de chiffrement principale dans Azure Key Vault ou HSM managé 1. Clé primaire 1. Clés de chiffrement de données dérivées de la clé primaire

  1. Vérifiez les données après la migration (et avant la suppression).
  2. Ne supprimez pas l’ancienne clé ou l’ancien coffre de clés tant que vous avez encore besoin des sauvegardes de données qui leur sont associées.

Migration de clés de locataire dans Azure Information Protection

Dans Azure Information Protection, la migration des clés de locataire est appelée « recréation des clés » ou « roulement des clés ». Gestion par le client : opérations de cycle de vie des clés du locataire AIP comprend des instructions détaillées sur la façon d’effectuer cette opération.

Il n’est pas prudent de supprimer l’ancienne clé de locataire tant que vous avez encore besoin du contenu ou des documents protégés par l’ancienne clé de locataire. Si vous souhaitez migrer des documents afin qu’ils soient protégés par la nouvelle clé, vous devez :

  1. Supprimer la protection du document protégé par l’ancienne clé de locataire.
  2. Appliquer à nouveau la protection, ce qui permettra d’utiliser la nouvelle clé de locataire.

Étapes suivantes