Megosztás a következőn keresztül:


Kriptográfiai kulcsok automatikus rotálásának konfigurálása az Azure Key Vaultban

Áttekintés

A Key Vault automatizált titkosítási kulcsforgatása lehetővé teszi, hogy a felhasználók úgy konfigurálják a Key Vaultot, hogy automatikusan létrehoznak egy új kulcsverziót egy megadott gyakorisággal. A rotáció konfigurálásához a kulcsrotálási szabályzatot veheti igénybe, amely az egyes kulcsokon definiálható.

Javasoljuk, hogy a bevált kriptográfiai gyakorlatnak megfelelően legalább kétévente rotálja a titkosítási kulcsokat.

A Key Vault objektumainak verziószámozására vonatkozó további információkért lásd: Key Vault-objektumok, -azonosítók és -verziószámozás.

Integráció az Azure-szolgáltatásokkal

Ez a funkció lehetővé teszi a végpontok közötti érintésmentes forgást az Azure-szolgáltatások inaktív titkosításához az Azure Key Vaultban tárolt ügyfél által felügyelt kulccsal (CMK). A konkrét Azure-szolgáltatás dokumentációjában ellenőrizheti, hogy a szolgáltatás kiterjed-e a végpontok közötti rotációra.

További információ az Azure-beli adattitkosításról:

Díjszabás

Ütemezett kulcsrotálásonként további költségek merülnek fel. További információkért tekintse meg az Azure Key Vault díjszabásával foglalkozó weboldalt

A szükséges engedélyek

A Key Vault kulcsforgatási funkcióhoz kulcskezelési engedélyek szükségesek. Hozzárendelhet egy "Key Vault crypto officer" szerepkört a rotációs szabályzat és az igény szerinti rotáció kezeléséhez.

További információ a Key Vault RBAC engedélymodelljének használatáról és az Azure-szerepkörök hozzárendeléséről: Az Azure RBAC használata kulcsokhoz, tanúsítványokhoz és titkos kulcsokhoz való hozzáférés szabályozásához

Feljegyzés

Ha hozzáférési szabályzatok engedélymodelljét használja, a kulcsok rotációs szabályzatának kezeléséhez be kell állítani a "Forgatás", a "Forgatási szabályzat beállítása" és a "Rotációs szabályzat lekérése" kulcsengedélyeket.

Kulcsforgatási szabályzat

A kulcsforgatási szabályzat lehetővé teszi, hogy a felhasználók a lejárati értesítés közelében konfigurálják a rotációt és az Event Grid-értesítéseket.

Kulcsforgatási szabályzat beállításai:

  • Lejárati idő: kulcs lejárati időköze. A rendszer az újonnan elforgatott kulcs lejárati dátumát állítja be. Nincs hatással az aktuális kulcsra.
  • Engedélyezve/letiltva: jelölő a kulcs forgatásának engedélyezéséhez vagy letiltásához
  • Forgatási típusok:
    • Automatikus megújítás adott időpontban a létrehozás után (alapértelmezett)
    • Automatikus megújítás egy adott időpontban a lejárat előtt. Ehhez a "Lejárati idő" beállításra van szükség a rotációs szabályzatban, és a "Lejárati dátum" beállítás a kulcson.
  • Forgatási idő: kulcsforgatási időköz, a minimális érték a létrehozástól számított hét nap, a lejárattól számított hét nap.
  • Értesítési idő: az Event Grid-értesítés lejárathoz közeli eseményintervallumának kulcsa. Ehhez a "Lejárati idő" beállításra van szükség a rotációs szabályzatban, és a "Lejárati dátum" beállítás a kulcson.

Fontos

A kulcsváltás egy meglévő kulcs új kulcsverzióját hozza létre új kulcsanyaggal. A célszolgáltatásoknak verzió nélküli kulcs URI használatával kell automatikusan frissíteni a kulcs legújabb verziójára. Győződjön meg arról, hogy az adattitkosítási megoldás a verziószámozott kulcs URI-ját tárolja az adatokkal, hogy ugyanarra a kulcsanyagra mutasson visszafejtéshez/visszafejtéshez, mint a titkosítási/burkolási műveletekhez, hogy elkerülje a szolgáltatások megszakadását. Az összes Azure-szolgáltatás jelenleg ezt a mintát követi az adattitkosításhoz.

Rotációs szabályzat konfigurálása

Kulcsforgatási szabályzat konfigurálása

Kulcsforgatási szabályzat konfigurálása a kulcslétrehozás során.

Forgás konfigurálása kulcslétrehozáskor

Rotációs szabályzat konfigurálása meglévő kulcsokon.

Rotáció konfigurálása meglévő kulcson

Azure CLI

Kulcsforgatási szabályzat mentése fájlba. Példa kulcsforgatási szabályzatra:

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    },
    {
      "trigger": {
        "timeBeforeExpiry": "P30D"
      },
      "action": {
        "type": "Notify"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Állítsa be a rotációs szabályzatot egy korábban mentett fájlt átadó kulcsra az Azure CLI az keyvault key rotation-policy update paranccsal.

az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>

Azure PowerShell

Állítsa be a rotációs szabályzatot az Azure PowerShell Set-AzKeyVaultKeyRotationPolicy parancsmaggal.

Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}

Forgatás igény szerint

A kulcsváltás manuálisan hívható meg.

Portál

Kattintson a Forgatás most gombra a forgatás meghívásához.

Forgatás igény szerint

Azure CLI

A kulcs elforgatásához használja az Azure CLI az keyvault billentyűforgató parancsát.

az keyvault key rotate --vault-name <vault-name> --name <key-name>

Azure PowerShell

Használja az Azure PowerShell Invoke-AzKeyVaultKeyRotation parancsmagot.

Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>

Kulcs közel lejárati értesítésének konfigurálása

Az Event Grid-kulcs lejárati értesítésének konfigurálása a lejárati esemény közelében. Ha az automatikus forgatás nem használható, például amikor egy kulcsot importál a helyi HSM-ből, a közel lejárati értesítést beállíthatja emlékeztetőként a manuális forgatáshoz, vagy eseményrács-integráció révén az egyéni automatikus elforgatás eseményindítójaként. A lejárat előtti napokra, hónapokra és évekre vonatkozó értesítéseket úgy konfigurálhatja, hogy közel lejárati eseményt aktiváljanak.

Értesítés konfigurálása

Az Event Grid-értesítésekről a Key Vaultban az Azure Key Vault mint Event Grid-forrás című témakörben talál további információt.

Kulcsforgatás konfigurálása ARM-sablonnal

A kulcsforgatási szabályzat ARM-sablonokkal is konfigurálható.

Feljegyzés

A kulcs felügyeleti síkon keresztüli üzembe helyezéséhez "Key Vault-közreműködő" szerepkörre van szükség az Azure RBAC-vel konfigurált Key Vaulton.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vaultName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key vault to be created."
            }
        },
        "keyName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key to be created."
            }
        },
        "rotatationTimeAfterCreate": {
            "defaultValue": "P18M",
            "type": "String",
            "metadata": {
                "description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
            }
        },
        "expiryTime": {
            "defaultValue": "P2Y",
            "type": "String",
            "metadata": {
                "description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
            }
        },
        "notifyTime": {
            "defaultValue": "P30D",
            "type": "String",
            "metadata": {
                "description": "Near expiry Event Grid notification. i.e. P30D"
            }
        }

    },
    "resources": [
        {
            "type": "Microsoft.KeyVault/vaults/keys",
            "apiVersion": "2021-06-01-preview",
            "name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
            "location": "[resourceGroup().location]",
            "properties": {
                "vaultName": "[parameters('vaultName')]",
                "kty": "RSA",
                "rotationPolicy": {
                    "lifetimeActions": [
                        {
                            "trigger": {
                                "timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
                                "timeBeforeExpiry": ""
                            },
                            "action": {
                                "type": "Rotate"
                            }
                        },
                        {
                            "trigger": {
                                "timeBeforeExpiry": "[parameters('notifyTime')]"
                            },
                            "action": {
                                "type": "Notify"
                            }
                        }

                    ],
                    "attributes": {
                        "expiryTime": "[parameters('expiryTime')]"
                    }
                }
            }
        }
    ]
}

Kulcsforgatási szabályzat szabályozásának konfigurálása

Az Azure Policy szolgáltatással szabályozhatja a kulcs életciklusát, és gondoskodhat arról, hogy az összes kulcs meghatározott számú napon belül elforgatható legyen.

Szabályzatdefiníció létrehozása és hozzárendelése

  1. Ugrás a Szabályzat erőforrásra
  2. Az Azure Policy oldal bal oldalán válassza a Hozzárendelések elemet a Létrehozás csoportban.
  3. Válassza a Szabályzat hozzárendelése lehetőséget a lap tetején. Ez a gomb megnyílik a Szabályzat-hozzárendelés lapra.
  4. Adja meg a következő adatokat:
  5. Töltse ki a további mezőket. Navigáljon a lap alján az Előző és a Tovább gombra kattintva.
  6. Válassza a Felülvizsgálat + létrehozás lehetőséget
  7. Válassza a Létrehozás elemet

A beépített szabályzat hozzárendelése akár 24 órát is igénybe vehet a vizsgálat befejezéséhez. A vizsgálat befejezése után az alábbihoz hasonló megfelelőségi eredmények láthatók.

Képernyőkép a kulcsforgatási szabályzat megfelelőségéről.

Források