Cara memigrasikan beban kerja utama
Azure Key Vault dan Azure Managed HSM tidak mengizinkan ekspor kunci, untuk melindungi materi utama dan memastikan bahwa properti HSM kunci tidak dapat diubah.
Jika Anda ingin kunci sangat portabel, yang terbaik adalah membuatnya di HSM yang didukung dan mengimpornya ke Azure Key Vault atau Azure Managed HSM.
Catatan
Satu-satunya pengecualian adalah jika kunci dibuat dengan kebijakan rilis utama yang membatasi ekspor ke enklave komputasi rahasia yang Anda percayai untuk menangani materi kunci. Operasi kunci yang aman tersebut bukan ekspor kunci tujuan umum.
Ada beberapa skenario yang memerlukan migrasi beban kerja utama:
- Mengalihkan batas keamanan, seperti saat beralih antara langganan, grup sumber daya, atau pemilik.
- Memindahkan wilayah karena batas kepatuhan atau risiko di wilayah tertentu.
- Mengubah ke penawaran baru, seperti dari Azure Key Vault ke Azure Managed HSM, yang menawarkan keamanan, isolasi, dan kepatuhan yang lebih besar daripada Key Vault Premium.
Di bawah ini kita membahas beberapa metode untuk memigrasikan beban kerja untuk menggunakan kunci baru, baik ke vault baru atau ke HSM terkelola baru.
Layanan Azure menggunakan kunci yang dikelola pelanggan
Untuk sebagian besar beban kerja yang menggunakan kunci di Key Vault, cara paling efektif untuk memigrasikan kunci ke lokasi baru (HSM terkelola baru atau brankas kunci baru di langganan atau wilayah yang berbeda) adalah dengan:
- Buat kunci baru di vault baru atau HSM terkelola.
- Pastikan bahwa beban kerja memiliki akses ke kunci baru ini, dengan menambahkan identitas beban kerja ke peran yang sesuai di Azure Key Vault atau Azure Managed HSM.
- Perbarui beban kerja untuk menggunakan kunci baru sebagai kunci enkripsi yang dikelola pelanggan.
- Pertahankan kunci lama sampai Anda tidak lagi menginginkan cadangan data beban kerja yang awalnya dilindungi kuncinya.
Misalnya, untuk memperbarui Azure Storage agar menggunakan kunci baru, ikuti instruksi di Mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan yang sudah ada - Azure Storage. Kunci yang dikelola pelanggan sebelumnya diperlukan sampai Penyimpanan diperbarui ke kunci baru; setelah Penyimpanan berhasil diperbarui ke kunci baru, kunci sebelumnya tidak lagi diperlukan.
Aplikasi kustom dan enkripsi sisi klien
Untuk enkripsi sisi klien atau aplikasi kustom yang telah Anda buat, yang secara langsung mengenkripsi data menggunakan kunci di Key Vault, prosesnya berbeda:
- Buat brankas kunci baru atau HSM terkelola, dan buat kunci enkripsi kunci (KEK) baru.
- Enkripsi ulang kunci atau data apa pun yang dienkripsi oleh kunci lama menggunakan kunci baru. (Jika data langsung dienkripsi oleh kunci di brankas kunci, ini mungkin memakan waktu, karena semua data harus dibaca, didekripsi, dan dienkripsi dengan kunci baru. Gunakan enkripsi amplop jika memungkinkan untuk membuat rotasi kunci tersebut lebih cepat).
Saat mengenkripsi ulang data, kami merekomendasikan hierarki kunci tiga tingkat, yang akan membuat rotasi KEK lebih mudah di masa mendatang: 1. Kunci Enkripsi Kunci di Azure Key Vault atau HSM Terkelola 1. Kunci Primer 1. Kunci Enkripsi Data berasal dari Kunci Primer
- Verifikasi data setelah migrasi (dan sebelum penghapusan).
- Jangan hapus kunci lama/brankas kunci hingga Anda tidak lagi menginginkan cadangan data yang terkait dengannya.
Memigrasikan kunci penyewa di Azure Information Protection
Memigrasikan kunci penyewa di Azure Information Protection disebut sebagai "rekeying" atau "rolling your key". Dikelola pelanggan - Operasi siklus hidup kunci penyewa AIP memiliki instruksi terperinci tentang cara melakukan operasi ini.
Tidak aman untuk menghapus kunci penyewa lama sampai Anda tidak lagi memerlukan konten atau dokumen yang dilindungi dengan kunci penyewa lama. Jika Anda ingin memigrasikan dokumen agar dilindungi oleh kunci baru, Anda harus:
- Hapus perlindungan dari dokumen yang dilindungi dengan kunci penyewa lama.
- Terapkan perlindungan lagi, yang akan menggunakan kunci penyewa baru.