Megosztás a következőn keresztül:

A fő számítási feladatok migrálása

  • Cikk

Az Azure Key Vault és az Azure Managed HSM nem engedélyezi a kulcsok exportálását, védi a kulcsanyagot, és biztosítja, hogy a kulcsok HSM-tulajdonságai nem módosíthatók.

Ha azt szeretné, hogy egy kulcs rendkívül hordozható legyen, a legjobb, ha egy támogatott HSM-ben hozza létre, és importálja az Azure Key Vaultba vagy az Azure Managed HSM-be.

Feljegyzés

Az egyetlen kivétel az, ha egy kulcs olyan kulcskiadási szabályzattal jön létre, amely korlátozza a bizalmas számítási enklávékba való exportálást, amelyekben megbízik a kulcsanyag kezelése érdekében. Az ilyen biztonságos kulcsműveletek nem a kulcs általános célú exportálásai.

Több forgatókönyv is megköveteli a fő számítási feladatok migrálását:

  • Biztonsági határok váltása, például előfizetések, erőforráscsoportok vagy tulajdonosok közötti váltáskor.
  • Régiók áthelyezése megfelelőségi határok vagy kockázatok miatt egy adott régióban.
  • Váltás egy új ajánlatra, például az Azure Key Vaultról az Azure Managed HSM-re, amely nagyobb biztonságot, elkülönítést és megfelelőséget kínál, mint a Key Vault Premium.

Az alábbiakban számos módszert mutatunk be a számítási feladatok új kulcs használatára való migrálására, akár új tárolóba, akár új felügyelt HSM-be.

Azure Services ügyfél által felügyelt kulccsal

A Key Vaultban kulcsokat használó legtöbb számítási feladat esetében a kulcsok új helyre (egy új felügyelt HSM-be vagy egy másik előfizetésben vagy régióban lévő új kulcstartóba) történő migrálásának leghatékonyabb módja a következő:

  1. Hozzon létre egy új kulcsot az új tárolóban vagy a felügyelt HSM-ben.
  2. Győződjön meg arról, hogy a számítási feladat rendelkezik hozzáféréssel ehhez az új kulcshoz, ha hozzáadja a számítási feladat identitását a megfelelő szerepkörhöz az Azure Key Vaultban vagy az Azure Managed HSM-ben.
  3. Frissítse a számítási feladatot, hogy az új kulcsot használja az ügyfél által felügyelt titkosítási kulcsként.
  4. Őrizze meg a régi kulcsot, amíg nem szeretné többé az eredetileg védett számítási feladatok adatainak biztonsági mentését.

Ha például frissíteni szeretné az Azure Storage-t egy új kulcs használatára, kövesse az Ügyfél által felügyelt kulcsok konfigurálása meglévő tárfiókhoz – Azure Storage – című témakör utasításait. Az előző ügyfél által kezelt kulcsra addig van szükség, amíg a Storage nem frissül az új kulcsra; Miután a Storage sikeresen frissült az új kulccsal, az előző kulcsra már nincs szükség.

Egyéni alkalmazások és ügyféloldali titkosítás

Az ügyféloldali titkosítási vagy az Ön által létrehozott egyéni alkalmazások esetében, amelyek közvetlenül titkosítják az adatokat a Key Vault kulcsainak használatával, a folyamat eltérő:

  1. Hozza létre az új kulcstartót vagy a felügyelt HSM-et, és hozzon létre egy új kulcstitkosítási kulcsot (KEK).
  2. A régi kulcs által az új kulccsal titkosított kulcsok vagy adatok újratitkosítása. (Ha az adatokat a kulcs közvetlenül titkosította a key vaultban, ez eltarthat egy ideig, mivel minden adatot be kell olvasni, vissza kell fejteni és titkosítania kell az új kulccsal. Ha lehetséges, használjon borítéktitkosítást az ilyen kulcsváltások felgyorsításához).

Az adatok újratitkosításakor egy háromszintű kulcshierarchia javasolt, amely megkönnyíti a KEK forgását a jövőben: 1. Az Azure Key Vault vagy a felügyelt HSM 1 kulcstitkosítási kulcsa. Az elsődleges kulcs 1. Az elsődleges kulcsból származtatott adattitkosítási kulcsok

  1. Ellenőrizze az adatokat a migrálás után (és a törlés előtt).
  2. Ne törölje a régi kulcsot/kulcstartót, amíg nem szeretné többé a hozzá társított adatok biztonsági másolatát.

Bérlőkulcsok migrálása az Azure Information Protectionben

A bérlőkulcsok Azure Information Protectionben történő migrálását "újrakulcsolásnak" vagy "a kulcs gördítésének" nevezzük. Ügyfél által felügyelt – Az AIP-bérlőkulcs életciklus-műveletei részletes útmutatást ad a művelet végrehajtásához.

Nem biztonságos törölni a régi bérlőkulcsot, amíg már nincs szüksége a régi bérlői kulccsal védett tartalomra vagy dokumentumokra. Ha át szeretné telepíteni a dokumentumokat, hogy az új kulccsal védve legyenek, a következőt kell tennie:

  1. Távolítsa el a védelmet a régi bérlői kulccsal védett dokumentumból.
  2. Alkalmazza újra a védelmet, amely az új bérlőkulcsot fogja használni.

Következő lépések