Kriptográfiai kulcsok automatikus rotálásának konfigurálása az Azure Key Vaultban
Áttekintés
A Key Vault automatizált titkosítási kulcsforgatása lehetővé teszi, hogy a felhasználók úgy konfigurálják a Key Vaultot, hogy automatikusan létrehoznak egy új kulcsverziót egy megadott gyakorisággal. A rotáció konfigurálásához a kulcsrotálási szabályzatot veheti igénybe, amely az egyes kulcsokon definiálható.
Javasoljuk, hogy a bevált kriptográfiai gyakorlatnak megfelelően legalább kétévente rotálja a titkosítási kulcsokat.
A Key Vault objektumainak verziószámozására vonatkozó további információkért lásd: Key Vault-objektumok, -azonosítók és -verziószámozás.
Integráció az Azure-szolgáltatásokkal
Ez a funkció lehetővé teszi a végpontok közötti érintésmentes forgást az Azure-szolgáltatások inaktív titkosításához az Azure Key Vaultban tárolt ügyfél által felügyelt kulccsal (CMK). A konkrét Azure-szolgáltatás dokumentációjában ellenőrizheti, hogy a szolgáltatás kiterjed-e a végpontok közötti rotációra.
További információ az Azure-beli adattitkosításról:
Díjszabás
Ütemezett kulcsrotálásonként további költségek merülnek fel. További információkért tekintse meg az Azure Key Vault díjszabásával foglalkozó weboldalt
A szükséges engedélyek
A Key Vault kulcsforgatási funkcióhoz kulcskezelési engedélyek szükségesek. Hozzárendelhet egy "Key Vault crypto officer" szerepkört a rotációs szabályzat és az igény szerinti rotáció kezeléséhez.
További információ a Key Vault RBAC engedélymodelljének használatáról és az Azure-szerepkörök hozzárendeléséről: Az Azure RBAC használata kulcsokhoz, tanúsítványokhoz és titkos kulcsokhoz való hozzáférés szabályozásához
Feljegyzés
Ha hozzáférési szabályzatok engedélymodelljét használja, a kulcsok rotációs szabályzatának kezeléséhez be kell állítani a "Forgatás", a "Forgatási szabályzat beállítása" és a "Rotációs szabályzat lekérése" kulcsengedélyeket.
Kulcsforgatási szabályzat
A kulcsforgatási szabályzat lehetővé teszi, hogy a felhasználók a lejárati értesítés közelében konfigurálják a rotációt és az Event Grid-értesítéseket.
Kulcsforgatási szabályzat beállításai:
- Lejárati idő: kulcs lejárati időköze. A rendszer az újonnan elforgatott kulcs lejárati dátumát állítja be. Nincs hatással az aktuális kulcsra.
- Engedélyezve/letiltva: jelölő a kulcs forgatásának engedélyezéséhez vagy letiltásához
- Forgatási típusok:
- Automatikus megújítás adott időpontban a létrehozás után (alapértelmezett)
- Automatikus megújítás egy adott időpontban a lejárat előtt. Ehhez a "Lejárati idő" beállításra van szükség a rotációs szabályzatban, és a "Lejárati dátum" beállítás a kulcson.
- Forgatási idő: kulcsforgatási időköz, a minimális érték a létrehozástól számított hét nap, a lejárattól számított hét nap.
- Értesítési idő: az Event Grid-értesítés lejárathoz közeli eseményintervallumának kulcsa. Ehhez a "Lejárati idő" beállításra van szükség a rotációs szabályzatban, és a "Lejárati dátum" beállítás a kulcson.
Fontos
A kulcsváltás egy meglévő kulcs új kulcsverzióját hozza létre új kulcsanyaggal. A célszolgáltatásoknak verzió nélküli kulcs URI használatával kell automatikusan frissíteni a kulcs legújabb verziójára. Győződjön meg arról, hogy az adattitkosítási megoldás a verziószámozott kulcs URI-ját tárolja az adatokkal, hogy ugyanarra a kulcsanyagra mutasson visszafejtéshez/visszafejtéshez, mint a titkosítási/burkolási műveletekhez, hogy elkerülje a szolgáltatások megszakadását. Az összes Azure-szolgáltatás jelenleg ezt a mintát követi az adattitkosításhoz.
Kulcsforgatási szabályzat konfigurálása
Kulcsforgatási szabályzat konfigurálása a kulcslétrehozás során.
Rotációs szabályzat konfigurálása meglévő kulcsokon.
Azure CLI
Kulcsforgatási szabályzat mentése fájlba. Példa kulcsforgatási szabályzatra:
{
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "P18M",
"timeBeforeExpiry": null
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "P30D"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "P2Y"
}
}
Állítsa be a rotációs szabályzatot egy korábban mentett fájlt átadó kulcsra az Azure CLI az keyvault key rotation-policy update paranccsal.
az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>
Azure PowerShell
Állítsa be a rotációs szabályzatot az Azure PowerShell Set-AzKeyVaultKeyRotationPolicy parancsmaggal.
Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}
Forgatás igény szerint
A kulcsváltás manuálisan hívható meg.
Portál
Kattintson a Forgatás most gombra a forgatás meghívásához.
Azure CLI
A kulcs elforgatásához használja az Azure CLI az keyvault billentyűforgató parancsát.
az keyvault key rotate --vault-name <vault-name> --name <key-name>
Azure PowerShell
Használja az Azure PowerShell Invoke-AzKeyVaultKeyRotation parancsmagot.
Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>
Kulcs közel lejárati értesítésének konfigurálása
Az Event Grid-kulcs lejárati értesítésének konfigurálása a lejárati esemény közelében. Ha az automatikus forgatás nem használható, például amikor egy kulcsot importál a helyi HSM-ből, a közel lejárati értesítést beállíthatja emlékeztetőként a manuális forgatáshoz, vagy eseményrács-integráció révén az egyéni automatikus elforgatás eseményindítójaként. A lejárat előtti napokra, hónapokra és évekre vonatkozó értesítéseket úgy konfigurálhatja, hogy közel lejárati eseményt aktiváljanak.
Az Event Grid-értesítésekről a Key Vaultban az Azure Key Vault mint Event Grid-forrás című témakörben talál további információt.
Kulcsforgatás konfigurálása ARM-sablonnal
A kulcsforgatási szabályzat ARM-sablonokkal is konfigurálható.
Feljegyzés
A kulcs felügyeleti síkon keresztüli üzembe helyezéséhez "Key Vault-közreműködő" szerepkörre van szükség az Azure RBAC-vel konfigurált Key Vaulton.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vaultName": {
"type": "String",
"metadata": {
"description": "The name of the key vault to be created."
}
},
"keyName": {
"type": "String",
"metadata": {
"description": "The name of the key to be created."
}
},
"rotatationTimeAfterCreate": {
"defaultValue": "P18M",
"type": "String",
"metadata": {
"description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
}
},
"expiryTime": {
"defaultValue": "P2Y",
"type": "String",
"metadata": {
"description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
}
},
"notifyTime": {
"defaultValue": "P30D",
"type": "String",
"metadata": {
"description": "Near expiry Event Grid notification. i.e. P30D"
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults/keys",
"apiVersion": "2021-06-01-preview",
"name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
"location": "[resourceGroup().location]",
"properties": {
"vaultName": "[parameters('vaultName')]",
"kty": "RSA",
"rotationPolicy": {
"lifetimeActions": [
{
"trigger": {
"timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
"timeBeforeExpiry": ""
},
"action": {
"type": "Rotate"
}
},
{
"trigger": {
"timeBeforeExpiry": "[parameters('notifyTime')]"
},
"action": {
"type": "Notify"
}
}
],
"attributes": {
"expiryTime": "[parameters('expiryTime')]"
}
}
}
}
]
}
Kulcsforgatási szabályzat szabályozásának konfigurálása
Az Azure Policy szolgáltatással szabályozhatja a kulcs életciklusát, és gondoskodhat arról, hogy az összes kulcs meghatározott számú napon belül elforgatható legyen.
Szabályzatdefiníció létrehozása és hozzárendelése
- Ugrás a Szabályzat erőforrásra
- Az Azure Policy oldal bal oldalán válassza a Hozzárendelések elemet a Létrehozás csoportban.
- Válassza a Szabályzat hozzárendelése lehetőséget a lap tetején. Ez a gomb megnyílik a Szabályzat-hozzárendelés lapra.
- Adja meg a következő adatokat:
- A szabályzat hatókörének meghatározásához válassza ki azt az előfizetést és erőforráscsoportot, amelyre a szabályzat érvényes lesz. Válassza a Három pont gombra kattintva a Hatókör mezőben.
- Válassza ki a szabályzatdefiníció nevét: "A kulcsoknak rotációs szabályzattal kell rendelkezniük, amely biztosítja, hogy a rotáció a létrehozást követő megadott számú napon belül legyen ütemezve. "
- Lépjen a Lap tetején található Paraméterek lapra.
- Állítsa be a maximális napokat úgy, hogy a paramétert a kívánt számú napra forgassa , például 730- ra.
- Határozza meg a szabályzat kívánt hatását (Naplózás vagy Letiltva).
- Töltse ki a további mezőket. Navigáljon a lap alján az Előző és a Tovább gombra kattintva.
- Válassza a Felülvizsgálat + létrehozás lehetőséget
- Válassza a Létrehozás elemet
A beépített szabályzat hozzárendelése akár 24 órát is igénybe vehet a vizsgálat befejezéséhez. A vizsgálat befejezése után az alábbihoz hasonló megfelelőségi eredmények láthatók.
Források
- A Key Vault monitorozása az Azure Event Grid használatával
- Kulcsokhoz, tanúsítványokhoz és titkos kulcsokhoz való hozzáférés szabályozása Azure RBAC használatával
- Azure-adattitkosítás inaktív állapotban
- Azure Storage-titkosítás
- Azure Disk Encryption
- Automatikus kulcsforgatás transzparens adattitkosításhoz