Ügyfél által felügyelt kulcsok kezelése az Azure Elastic SAN-hoz
A rugalmas SAN-kötetre írt összes adat automatikusan titkosítva lesz egy adattitkosítási kulccsal (DEK). Az Azure DEK-k mindig platform által felügyeltek (a Microsoft felügyeli). Az Azure borítéktitkosítást, más néven burkolást használ, amely egy kulcstitkosítási kulcs (KEK) használatával titkosítja a DEK-t. Alapértelmezés szerint a KEK platform által felügyelt, de létrehozhatja és kezelheti a saját KEK-ét. Az ügyfél által felügyelt kulcsok nagyobb rugalmasságot biztosítanak a hozzáférés-vezérlés kezeléséhez, és segíthetnek megfelelni a szervezet biztonsági és megfelelőségi követelményeinek.
A kulcstitkosítási kulcsok minden aspektusát szabályozhatja, beleértve a következőket:
- Melyik kulcsot használja a rendszer?
- A kulcsok tárolási helye
- A kulcsok elforgatása
- Váltás az ügyfél által felügyelt és a platform által felügyelt kulcsok között
Ez a cikk az ügyfél által felügyelt KEK-k kezelését ismerteti.
Feljegyzés
A borítéktitkosítással anélkül módosíthatja a kulcskonfigurációt, hogy az hatással lenne a rugalmas SAN-kötetekre. A módosításkor az Elastic SAN szolgáltatás újra titkosítja az adattitkosítási kulcsokat az új kulcsokkal. Az adattitkosítási kulcs védelme megváltozik, de a rugalmas SAN-kötetekben lévő adatok mindig titkosítva maradnak. Az adatok védelmének biztosításához nincs szükség további műveletre. A kulcskonfiguráció módosítása nem befolyásolja a teljesítményt, és nincs ilyen változáshoz kapcsolódó állásidő.
Korlátozások
Az alábbi lista tartalmazza azokat a régiókat, amelyekben az Elastic SAN jelenleg elérhető, és mely régiók támogatják a zónaredundáns tárolást (ZRS) és a helyileg redundáns tárolást (LRS), vagy csak az LRS-t:
- Dél-Afrika észak - LRS
- Kelet-Ázsia – LRS
- Délkelet-Ázsia - LRS
- Dél-Brazília – LRS
- Kanada középső régiója – LRS
- Franciaország középső régiója – LRS & ZRS
- Németország nyugati középső régiója – LRS
- Kelet-Ausztrália – LRS
- Észak-Európa - LRS > ZRS
- Nyugat-Európa - LRS > ZRS
- Egyesült Királyság déli régiója – LRS
- Kelet-Japán – LRS
- Korea középső régiója – LRS
- USA középső régiója – LRS
- USA keleti régiója – LRS
- USA déli középső régiója – LRS
- USA 2. keleti régiója – LRS
- USA 2. nyugati régiója – LRS & ZRS
- USA 3. nyugati régiója – LRS
- Svédország középső régiója – LRS
- Észak-Svájc - LRS
- Kelet-Norvégia – LRS
- Észak-Egyesült Arab Emírségek – LRS
- India középső régiója – LRS
A kulcs módosítása
Az Azure Elastic SAN-titkosításhoz használt kulcsot bármikor módosíthatja.
A kulcs PowerShell-lel való módosításához hívja meg az Update-AzElasticSanVolumeGroup csoportot , és adja meg az új kulcs nevét és verzióját. Ha az új kulcs egy másik kulcstartóban található, akkor frissítenie kell a kulcstartó URI-t is.
Ha az új kulcs egy másik kulcstartóban található, hozzáférést kell adnia a felügyelt identitásnak az új tárolóban lévő kulcshoz. Ha a kulcsverzió manuális frissítését választja, a kulcstartó URI-ját is frissítenie kell.
A kulcsverzió frissítése
A titkosítási ajánlott eljárások követése azt jelenti, hogy a rugalmas SAN-kötetcsoportot védő kulcs elforgatása rendszeres ütemezés szerint történik, általában legalább kétévente. Az Azure Elastic SAN soha nem módosítja a kulcsot a kulcstartóban, de konfigurálhat egy kulcsforgatási szabályzatot, hogy a megfelelőségi követelményeknek megfelelően forgassa el a kulcsot. További információ: Titkosítási kulcs automatikus elforgatásának konfigurálása az Azure Key Vaultban.
A kulcs kulcstartóban való elforgatása után az rugalmas SAN-kötetcsoport ügyfél által felügyelt KEK-konfigurációját frissíteni kell az új kulcsverzió használatához. Az ügyfél által kezelt kulcsok támogatják a KEK-verzió automatikus és manuális frissítését is. Az ügyfél által felügyelt kulcsok kezdeti konfigurálásakor vagy a konfiguráció frissítésekor eldöntheti, hogy melyik módszert szeretné használni.
A kulcs vagy a kulcsverzió módosításakor a gyökértitkosítási kulcs védelme megváltozik, de az Azure Elastic SAN-kötetcsoportban lévő adatok mindig titkosítva maradnak. Nincs szükség további műveletre az adatok védelmének biztosításához. A kulcsverzió elforgatása nem befolyásolja a teljesítményt, és nincs a kulcsverzió elforgatásával járó állásidő.
Fontos
Kulcs elforgatásához hozzon létre egy új verziót a kulcstartóban a megfelelőségi követelményeknek megfelelően. Az Azure Elastic SAN nem kezeli a kulcsforgatást, ezért a kulcs elforgatását a kulcstartóban kell kezelnie.
Az ügyfél által felügyelt kulcsokhoz használt kulcs elforgatásakor a rendszer jelenleg nem naplózza a műveletet az Azure Elastic SAN Azure Monitor-naplóiba.
A kulcsverzió automatikus frissítése
Ha egy ügyfél által felügyelt kulcsot szeretne automatikusan frissíteni, amikor új verzió érhető el, hagyja ki a kulcsverziót, amikor engedélyezi a titkosítást az elastic SAN-kötetcsoport ügyfél által felügyelt kulcsaival. Ha a kulcsverzió nincs megadva, az Azure Elastic SAN naponta ellenőrzi a kulcstartót egy ügyfél által felügyelt kulcs új verziójáért. Ha új kulcsverzió érhető el, akkor az Azure Elastic SAN automatikusan a kulcs legújabb verzióját használja.
Az Azure Elastic SAN naponta csak egyszer ellenőrzi a kulcstartót egy új kulcsverzióhoz. A kulcs elforgatásakor mindenképpen várjon 24 órát, mielőtt letiltja a régebbi verziót.
Ha az Elastic SAN kötetcsoport korábban a kulcsverzió manuális frissítésére lett konfigurálva, és automatikus frissítésre szeretné módosítani, előfordulhat, hogy explicit módon módosítania kell a kulcsverziót egy üres sztringre. Ennek módjáról további információt a Manuális kulcsverzió-rotáció című témakörben talál.
A kulcsverzió manuális frissítése
Az Azure Elastic SAN-titkosításhoz használt kulcs adott verziójának használatához adja meg ezt a kulcsverziót, ha engedélyezi a titkosítást az ügyfél által felügyelt kulcsokkal az Elastic SAN-kötetcsoporthoz. Ha megadja a kulcsverziót, az Azure Elastic SAN ezt a verziót használja a titkosításhoz, amíg manuálisan nem frissíti a kulcsverziót.
Ha a kulcsverzió explicit módon van megadva, manuálisan kell frissítenie az Elastic SAN kötetcsoportot az új kulcsverzió URI-jának használatához egy új verzió létrehozásakor. Ha tudni szeretné, hogyan frissítheti az Elastic SAN-kötetcsoportot a kulcs új verziójának használatára, olvassa el a Titkosítás konfigurálása az Azure Key Vaultban tárolt ügyfél által felügyelt kulcsokkal című témakört.
Ügyfél által felügyelt kulcsokat használó kötetcsoporthoz való hozzáférés visszavonása
Az ügyfél által felügyelt kulcsokat használó rugalmas SAN-kötetcsoporthoz való hozzáférés ideiglenes visszavonásához tiltsa le a kulcstartóban jelenleg használt kulcsot. A kulcs letiltásával és újbóli letiltásával nincs hatással a teljesítményre vagy az állásidőre.
Miután a kulcs le lett tiltva, az ügyfelek nem hívhatják meg a kötetcsoport köteteibe vagy metaadataikba olvasási vagy írási műveleteket.
Figyelemfelhívás
Ha letiltja a kulcsot a kulcstartóban, az Azure Elastic SAN-kötetcsoportban lévő adatok titkosítva maradnak, de nem lesznek elérhetők, amíg újra nem érhetővé nem teszi a kulcsot.
Ha vissza szeretne vonni egy ügyfél által felügyelt kulcsot a PowerShell használatával, hívja meg az Update-AzKeyVaultKey parancsot az alábbi példában látható módon. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire a változók definiálásához, vagy használja az előző példákban definiált változókat.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Visszaváltás platform által felügyelt kulcsra
Az azure PowerShell-modul vagy az Azure CLI használatával bármikor válthat az ügyfél által felügyelt kulcsról a platform által felügyelt kulcsra.
Ha az ügyfél által felügyelt kulcsokról a PowerShell használatával szeretne visszaállni a platform által felügyelt kulcsokra, hívja meg az Update-AzElasticSanVolumeGroup parancsot a -Encryption
lehetőséggel, ahogyan az az alábbi példában is látható. Ne felejtse el lecserélni a helyőrző értékeket a saját értékeire, és használja az előző példákban definiált változókat.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey