Condividi tramite


Come eseguire la migrazione di carichi di lavoro chiave

Azure Key Vault e il modulo di protezione hardware gestito di Azure non consentono l'esportazione delle chiavi, per proteggere il materiale della chiave e assicurarsi che le proprietà del modulo di protezione hardware delle chiavi non possano essere modificate.

Se si vuole che una chiave sia altamente portabile, è consigliabile crearla in un modulo di protezione hardware supportato e importarla in Azure Key Vault o nel modulo di protezione hardware gestito di Azure.

Nota

L'unica eccezione è se una chiave viene creata con criteri di rilascio delle chiavi che limitano le esportazioni a enclave di confidential computing attendibili per gestire il materiale della chiave. Questo tipo di operazioni sulle chiavi sicure non sono esportazioni generiche della chiave.

Esistono diversi scenari che richiedono la migrazione dei carichi di lavoro delle chiavi:

  • Passaggio a limiti di sicurezza diversi, ad esempio quando si passa tra sottoscrizioni, gruppi di risorse o proprietari.
  • Spostamento di aree a causa di limiti di conformità o rischi in una determinata area.
  • Passaggio a una nuova offerta, ad esempio da Azure Key Vault a un modulo di protezione hardware gestito di Azure, che offre sicurezza, isolamento e conformità maggiori rispetto a Key Vault Premium.

Di seguito vengono illustrati diversi metodi per la migrazione dei carichi di lavoro per l'uso di una nuova chiave, in un nuovo insieme di credenziali o in un nuovo modulo di protezione hardware gestito.

Servizi di Azure che usano una chiave gestita dal cliente

Per la maggior parte dei carichi di lavoro che usano chiavi in Key Vault, il modo più efficace per eseguire la migrazione di una chiave in una nuova posizione (un nuovo modulo di protezione hardware gestito o un nuovo insieme di credenziali delle chiavi in una sottoscrizione o un'area diversa) consiste nel:

  1. Creare una nuova chiave nel nuovo insieme di credenziali o nel modulo di protezione hardware gestito.
  2. Assicurarsi che il carico di lavoro abbia accesso a questa nuova chiave aggiungendo l'identità del carico di lavoro al ruolo appropriato in Azure Key Vault o nel modulo di protezione hardware gestito di Azure.
  3. Aggiornare il carico di lavoro per usare la nuova chiave come chiave di crittografia gestita dal cliente.
  4. Conservare la chiave precedente finché non si sono più necessari i backup dei dati del carico di lavoro protetti in origine dalla chiave.

Ad esempio, per aggiornare Archiviazione di Azure per l'uso di una nuova chiave, seguire le istruzioni in Configurare le chiavi gestite dal cliente per un account di archiviazione esistente - Archiviazione di Azure. La chiave gestita dal cliente precedente è necessaria fino a quando l'archiviazione non viene aggiornata alla nuova chiave- Una volta che l'archiviazione è stata aggiornata correttamente alla nuova chiave, la chiave precedente non è più necessaria.

Applicazioni personalizzate e crittografia lato client

Per le applicazioni personalizzate o con crittografia lato client create, che crittografano direttamente i dati usando le chiavi in Key Vault, il processo è diverso:

  1. Creare il nuovo insieme di credenziali delle chiavi o il modulo di protezione hardware gestito e creare una nuova chiave di crittografia della chiave (KEK).
  2. Crittografare nuovamente le chiavi o i dati crittografati dalla chiave precedente usando la nuova chiave. Se i dati sono stati crittografati direttamente dalla chiave nell'insieme di credenziali delle chiavi, l'operazione potrebbe richiedere del tempo, perché tutti i dati devono essere letti, decrittografati e crittografati con la nuova chiave. Usare la crittografia envelope laddove possibile per velocizzare tali rotazioni delle chiavi.

Quando si crittografano nuovamente i dati, è consigliabile una gerarchia di chiavi a tre livelli, che renderà più semplice la rotazione delle chiavi KEK in futuro: 1. Chiave di crittografia della chiave in Azure Key Vault o in un modulo di protezione hardware gestito 1. Chiave primaria 1. Chiavi di crittografia dei dati derivate dalla chiave primaria

  1. Verificare i dati dopo la migrazione (e prima dell'eliminazione).
  2. Non eliminare la chiave o l'insieme di credenziali delle chiavi precedenti finché non sono più necessari i backup dei dati associati.

Migrazione delle chiavi del tenant ad Azure Information Protection

La migrazione delle chiavi del tenant in Azure Information Protection viene definita "reimpostazione delle chiavi" o "rollover delle chiavi". In Gestito dal cliente: operazioni del ciclo di vita delle chiavi del tenant sono disponibili istruzioni dettagliate su come eseguire questa operazione.

Non è consigliabile eliminare la chiave del tenant precedente finché non sono più necessari i contenuti o i documenti protetti con questa chiave. Se si vuole eseguire la migrazione dei documenti da proteggere con la nuova chiave, è necessario:

  1. Rimuovere la protezione dal documento protetto con la chiave del tenant precedente.
  2. Applicare di nuovo la protezione, che userà la nuova chiave del tenant.

Passaggi successivi