Gestire le chiavi gestite dal cliente per la san elastica di Azure

Tutti i dati scritti in un volume SAN elastico vengono crittografati automaticamente inattivi con una chiave DEK (Data Encryption Key). I DEK di Azure sono sempre gestiti dalla piattaforma (gestiti da Microsoft). Azure usa la crittografia envelope, detta anche wrapping, che implica l'uso di una chiave di crittografia della chiave (KEK) per crittografare la chiave DEK. Per impostazione predefinita, la chiave kek è gestita dalla piattaforma, ma è possibile creare e gestire la chiave kek personalizzata. Le chiavi gestite dal cliente offrono maggiore flessibilità per gestire i controlli di accesso e consentono di soddisfare i requisiti di sicurezza e conformità dell'organizzazione.

È possibile controllare tutti gli aspetti delle chiavi di crittografia delle chiavi, tra cui:

• Quale chiave viene usata
• Dove vengono archiviate le chiavi
• Rotazione dei tasti
• Possibilità di passare da chiavi gestite dal cliente a chiavi gestite dalla piattaforma

Questo articolo illustra come gestire le chiavi KEK gestite dal cliente.

Nota

La crittografia envelope consente di modificare la configurazione della chiave senza influire sul volume SAN elastico. Quando si apporta una modifica, il servizio SAN elastico crittografa nuovamente le chiavi di crittografia dei dati con le nuove chiavi. La protezione della chiave di crittografia dei dati cambia, ma i dati nei volumi SAN elastici rimangono sempre crittografati. Non è richiesta alcuna azione aggiuntiva da parte tua per garantire che i tuoi dati siano protetti. La modifica della configurazione della chiave non influisce sulle prestazioni e non vi è alcun tempo di inattività associato a una modifica di questo tipo.

Limiti

L'elenco seguente contiene le aree san elastiche attualmente disponibili in e quali aree supportano sia l'archiviazione con ridondanza della zona (ZRS) che l'archiviazione con ridondanza locale o solo l'archiviazione con ridondanza locale o solo l'archiviazione con ridondanza locale:

• Sudafrica settentrionale - Archiviazione con ridondanza locale
• Asia orientale - Archiviazione con ridondanza locale
• Asia sud-orientale - Archiviazione con ridondanza locale
• Brasile meridionale - Archiviazione con ridondanza locale
• Canada centrale - Archiviazione con ridondanza locale
• Francia centrale - LRS & ZRS
• Germania centro-occidentale - Archiviazione con ridondanza locale
• Australia orientale - Archiviazione con ridondanza locale
• Europa settentrionale - Archiviazione con ridondanza locale e archiviazione con ridondanza della zona
• Europa occidentale - Archiviazione con ridondanza locale e archiviazione con ridondanza della zona
• Regno Unito meridionale - Archiviazione con ridondanza locale
• Giappone orientale - Archiviazione con ridondanza locale
• Corea centrale - Archiviazione con ridondanza locale
• Stati Uniti centrali
• Stati Uniti orientali - Archiviazione con ridondanza locale
• Stati Uniti centro-meridionali - Archiviazione con ridondanza locale
• Stati Uniti orientali 2 - Archiviazione con ridondanza locale
• Stati Uniti occidentali 2 - Archiviazione con ridondanza locale e archiviazione con ridondanza della zona
• Stati Uniti occidentali 3 - Archiviazione con ridondanza locale
• Svezia centrale - Archiviazione con ridondanza locale
• Svizzera settentrionale - Archiviazione con ridondanza locale

Modificare la chiave

È possibile modificare la chiave usata per la crittografia SAN elastica di Azure in qualsiasi momento.

PowerShell

Per modificare la chiave con PowerShell, chiamare Update-AzElasticSanVolumeGroup e specificare il nome e la versione della nuova chiave. Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.

Interfaccia della riga di comando di Azure

Per modificare la chiave con l'interfaccia della riga di comando di Azure, chiamare az elastic-san volume-group update e specificare il nome e la versione della nuova chiave. Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.

Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario concedere all'identità gestita l'accesso alla chiave nel nuovo insieme di credenziali. Se si sceglie di aggiornare manualmente la versione della chiave, è necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.

Aggiornare la versione della chiave

Seguendo le procedure consigliate per la crittografia si intende ruotare la chiave che protegge il gruppo di volumi ELASTIC SAN in base a una pianificazione regolare, in genere almeno ogni due anni. La san elastica di Azure non modifica mai la chiave nell'insieme di credenziali delle chiavi, ma è possibile configurare un criterio di rotazione delle chiavi per ruotare la chiave in base ai requisiti di conformità. Per altre informazioni, vedere Configurare la rotazione automatica delle chiavi crittografiche in Azure Key Vault.

Dopo la rotazione della chiave nell'insieme di credenziali delle chiavi, la configurazione della chiave kek gestita dal cliente per il gruppo di volumi ELASTICI SAN deve essere aggiornata per usare la nuova versione della chiave. Le chiavi gestite dal cliente supportano sia l'aggiornamento automatico che manuale della versione della chiave di crittografia della chiave. È possibile decidere quale approccio si vuole usare quando si configurano inizialmente le chiavi gestite dal cliente o quando si aggiorna la configurazione.

Quando si modifica la chiave o la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nel gruppo di volumi SAN elastico di Azure rimangono sempre crittografati. Non è necessaria alcuna azione aggiuntiva da parte dell'utente per assicurarsi che i dati siano protetti. La rotazione della versione della chiave non influisce sulle prestazioni e non è previsto alcun tempo di inattività associato alla rotazione della versione della chiave.

Importante

Per ruotare una chiave, creare una nuova versione della chiave nell'insieme di credenziali delle chiavi in base ai requisiti di conformità. La san elastica di Azure non gestisce la rotazione delle chiavi, quindi è necessario gestire la rotazione della chiave nell'insieme di credenziali delle chiavi.

Quando si ruota la chiave usata per le chiavi gestite dal cliente, tale azione non è attualmente registrata nei log di Monitoraggio di Azure per la san elastica di Azure.

Aggiornare automaticamente la versione della chiave

Per aggiornare automaticamente una chiave gestita dal cliente quando è disponibile una nuova versione, omettere la versione della chiave quando si abilita la crittografia con chiavi gestite dal cliente per il gruppo di volumi SAN elastico. Se la versione della chiave viene omessa, Azure Elastic SAN controlla ogni giorno l'insieme di credenziali delle chiavi per una nuova versione di una chiave gestita dal cliente. Se è disponibile una nuova versione della chiave, La rete SAN elastica di Azure usa automaticamente la versione più recente della chiave.

San elastico di Azure controlla l'insieme di credenziali delle chiavi per una nuova versione della chiave una sola volta al giorno. Quando si ruota una chiave, assicurarsi di attendere 24 ore prima di disabilitare la versione precedente.

Se il gruppo di volumi SAN elastico è stato configurato in precedenza per l'aggiornamento manuale della versione della chiave e si vuole modificarlo automaticamente, potrebbe essere necessario modificare in modo esplicito la versione della chiave in una stringa vuota. Per informazioni dettagliate su come eseguire questa operazione, vedere Rotazione manuale della versione delle chiavi.

Aggiornare manualmente la versione della chiave

Per usare una versione specifica di una chiave per la crittografia SAN elastica di Azure, specificare la versione della chiave quando si abilita la crittografia con chiavi gestite dal cliente per il gruppo di volumi SAN elastico. Se si specifica la versione della chiave, la rete SAN elastica di Azure usa tale versione per la crittografia fino a quando non si aggiorna manualmente la versione della chiave.

Quando la versione della chiave viene specificata in modo esplicito, è necessario aggiornare manualmente il gruppo di volumi SAN elastici per usare il nuovo URI della versione della chiave quando viene creata una nuova versione. Per informazioni su come aggiornare il gruppo di volumi SAN elastici per l'uso di una nuova versione della chiave, vedere Configurare la crittografia con le chiavi gestite dal cliente archiviate in Azure Key Vault.

Revocare l'accesso a un gruppo di volumi che usa chiavi gestite dal cliente

Per revocare temporaneamente l'accesso a un gruppo di volumi SAN elastico che usa chiavi gestite dal cliente, disabilitare la chiave attualmente usata nell'insieme di credenziali delle chiavi. Non sono previsti effetti sulle prestazioni o tempi di inattività associati alla disabilitazione e alla ripetizione della chiave.

Dopo che la chiave è stata disabilitata, i client non possono chiamare operazioni che leggono o scrivono nei volumi nel gruppo di volumi o nei relativi metadati.

Attenzione

Quando si disabilita la chiave nell'insieme di credenziali delle chiavi, i dati nel gruppo di volumi SAN elastici di Azure rimangono crittografati, ma diventa inaccessibile fino a quando non si riabilita la chiave.

PowerShell

Per revocare una chiave gestita dal cliente con PowerShell, chiamare il comando Update-AzKeyVaultKey , come illustrato nell'esempio seguente. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori per definire le variabili o usare le variabili definite negli esempi precedenti.

$KvName  = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled

Interfaccia della riga di comando di Azure

Per revocare una chiave gestita dal cliente con l'interfaccia della riga di comando di Azure, chiamare il comando az keyvault key set-attributes , come illustrato nell'esempio seguente. Ricordarsi di sostituire i valori segnaposto con i propri valori per definire le variabili o usare le variabili definite negli esempi precedenti.

KvName="key-vault-name"
KeyName="key-name"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $KvName \
    --name $KeyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $KvName \
    --name $KeyName \
    --enabled $enabled

Tornare alle chiavi gestite dalla piattaforma

È possibile passare da chiavi gestite dal cliente a chiavi gestite dalla piattaforma in qualsiasi momento, usando il modulo Azure PowerShell o l'interfaccia della riga di comando di Azure.

PowerShell

Per passare da chiavi gestite dal cliente a chiavi gestite dalla piattaforma con PowerShell, chiamare Update-AzElasticSanVolumeGroup con l'opzione -Encryption , come illustrato nell'esempio seguente. Ricordarsi di sostituire i valori segnaposto con i propri valori e di usare le variabili definite negli esempi precedenti.

Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey 

Interfaccia della riga di comando di Azure

Per passare dalle chiavi gestite dal cliente alle chiavi gestite dalla piattaforma con l'interfaccia della riga di comando di Azure, chiamare az elastic-san volume-group update e impostare il --encryption parametro su EncryptionAtRestWithPlatformKey, come illustrato nell'esempio seguente. Sostituire tutto il testo segnaposto con i propri valori, quindi eseguire il comando :

az elastic-san volume-group update \
    --elastic-san-name <ElasticSanName> \
    --name <ElasticSanVolumeGroupName> \
    --resource-group <ResourceGroupName> \
    --encryption EncryptionAtRestWithPlatformKey

Vedi anche

• Configurare chiavi gestite dal cliente per una SAN elastica di Azure con Azure Key Vault