Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Aset kriptografi seperti sertifikat, kunci, dan rahasia memiliki masa pakai yang terbatas. Sebagai praktik terbaik keamanan, aset ini harus diputar secara teratur untuk mengurangi risiko kompromi dan memastikan kepatuhan terhadap kebijakan keamanan. Azure Key Vault menyediakan kemampuan otomatisasi untuk memutar aset ini, membantu organisasi mempertahankan postur keamanan yang kuat dengan overhead operasional minimal.
Apa itu autorotasi?
Autorotasi adalah proses mengganti aset kriptografi secara otomatis dengan yang baru pada interval yang telah ditentukan sebelumnya atau sebagai respons terhadap peristiwa tertentu. Di Azure Key Vault, kemampuan autorotasi bervariasi tergantung pada jenis aset:
- Kunci: Pembuatan otomatis versi kunci baru berdasarkan kebijakan rotasi yang dikonfigurasi
- Rahasia: Pembaruan rahasia yang dipicu peristiwa dengan integrasi ke sistem yang menggunakannya
- Sertifikat: Perpanjangan sertifikat otomatis sebelum kedaluwarsa
Manfaat autorotasi (rotasi otomatis)
Menerapkan autorotasi untuk aset kriptografi Anda memberikan beberapa manfaat:
- Keamanan yang ditingkatkan: Rotasi reguler bahan kriptografi mengurangi risiko kompromi
- Kepatuhan yang disederhanakan: Memenuhi persyaratan peraturan dan organisasi untuk manajemen siklus hidup aset kriptografi
- Efisiensi operasional: Mengurangi upaya manual dan risiko kesalahan manusia dalam proses rotasi
- Mengurangi waktu henti: Rotasi proaktif sebelum kedaluwarsa mencegah gangguan layanan
- Manajemen yang dapat diskalakan: Mengotomatiskan rotasi di beberapa aset dan layanan
Autorotasi untuk jenis aset yang berbeda
Autorotasi kunci
Kunci di Azure Key Vault dapat dikonfigurasi dengan kebijakan rotasi yang secara otomatis menghasilkan versi kunci baru pada frekuensi yang ditentukan. Ini berguna untuk kunci yang digunakan sebagai kunci yang dikelola pelanggan (CMK) di layanan Azure.
Autorotasi kunci mendukung:
- Interval rotasi yang dapat dikonfigurasi (minimal tujuh hari)
- Pemberitahuan hampir kedaluwarsa melalui Event Grid
- Rotasi sesuai permintaan selain rotasi terjadwal
- Integrasi dengan layanan Azure menggunakan CMK
Pelajari cara mengonfigurasi autorotasi kunci di Azure Key Vault
Putaran otomatis rahasia
Data rahasia di Azure Key Vault dapat dikonfigurasi untuk autorotasi menggunakan fungsi Azure yang dipicu oleh kejadian dari Event Grid. Ini berharga untuk kredensial database, kunci API, dan informasi sensitif lainnya yang memerlukan pembaruan reguler.
Dukungan autorotasi rahasia:
- Pemicu berbasis peristiwa melalui Event Grid
- Integrasi dengan Azure Functions untuk logika rotasi kustom
- Pemberitahuan hampir kedaluwarsa untuk pengingat rotasi manual
- Memperbarui layanan dependen dengan nilai rahasia baru
Azure Key Vault mendukung dua skenario rotasi rahasia:
- Pelajari cara menerapkan autorotasi rahasia untuk sumber daya dengan satu set kredensial autentikasi
- Pelajari cara menerapkan autorotasi rahasia untuk sumber daya dengan dua set kredensial autentikasi
Rotasi Otomatis Sertifikat
Sertifikat yang disimpan di Azure Key Vault dapat diperpanjang secara otomatis sebelum kedaluwarsa. Key Vault menangani perpanjangan sertifikat dengan otoritas sertifikat terpadu (CA) atau melalui regenerasi sertifikat yang ditandatangani sendiri.
Autorotasi sertifikat mendukung:
- Konfigurasi periode validitas
- Perpanjangan otomatis pada persentase masa pakai atau hari tertentu sebelum kedaluwarsa
- Pemberitahuan email untuk kedaluwarsa sertifikat
- Integrasi dengan otoritas sertifikat seperti DigiCert dan GlobalSign
Pelajari cara mengonfigurasi autorotasi sertifikat di Azure Key Vault
Praktik terbaik untuk otomisasi rotasi
Saat menerapkan rotasi otomatis di Azure Key Vault, pertimbangkan praktik terbaik berikut:
- Menggunakan penerapan versi: Pastikan sistem mereferensikan versi terbaru kunci, sertifikat, atau rahasia secara otomatis
- Menerapkan kontrol akses yang tepat: Gunakan Azure RBAC untuk mengontrol siapa yang dapat mengonfigurasi kebijakan rotasi
- Memantau peristiwa rotasi: Menyiapkan notifikasi dan peringatan untuk rotasi yang berhasil dan gagal
- Pengujian prosedur rotasi: Memvalidasi bahwa sistem yang bergantung dapat menangani aset yang telah dirotasi dengan benar
- Mengonfigurasi frekuensi rotasi yang sesuai: Menyeimbangkan persyaratan keamanan dengan pertimbangan operasional
- Prosedur fallback terdokumentasi: Memiliki prosedur rotasi manual yang didokumentasikan untuk skenario darurat
- Ikuti praktik terbaik keamanan: Menerapkan langkah-langkah keamanan komprehensif seperti yang diuraikan dalam Mengamankan Azure Key Vault Anda
Skenario autorotasi umum
Kunci yang dikelola pelanggan untuk layanan Azure
Banyak layanan Azure mendukung enkripsi dengan kunci yang dikelola pelanggan yang disimpan di Key Vault. Ketika kunci ini dikonfigurasi untuk autorotasi, layanan secara otomatis menggunakan versi kunci terbaru untuk operasi enkripsi baru sambil mempertahankan akses ke data yang dienkripsi dengan versi sebelumnya.
Kredensial database
Kredensial database yang disimpan sebagai rahasia di Key Vault dapat diputar secara otomatis dengan aplikasi fungsi yang tidak hanya memperbarui rahasia di Key Vault tetapi juga menerapkan kredensial baru ke database.
Kunci API dan kredensial layanan
Autorotasi kunci API dan kredensial layanan membantu menjaga keamanan dengan membatasi masa pakai aset sensitif ini. Dengan menerapkan rotasi dengan Azure Functions, Anda dapat memperbarui Key Vault dan layanan target.