Delen via


Sleutelworkloads migreren

Azure Key Vault en Azure Managed HSM staan het exporteren van sleutels niet toe, om het sleutelmateriaal te beveiligen en ervoor te zorgen dat de HSM-eigenschappen van de sleutels niet kunnen worden gewijzigd.

Als u wilt dat een sleutel zeer draagbaar is, kunt u deze het beste maken in een ondersteunde HSM en deze importeren in Azure Key Vault of Azure Managed HSM.

Notitie

De enige uitzondering hierop is als een sleutel wordt gemaakt met een beleid voor sleutelrelease dat de export beperkt tot vertrouwelijke reken-enclaves die u vertrouwt om het sleutelmateriaal af te handelen. Dergelijke veilige sleutelbewerkingen zijn geen exportbewerkingen voor algemeen gebruik van de sleutel.

Er zijn verschillende scenario's waarvoor de migratie van belangrijke workloads is vereist:

  • Schakelen tussen beveiligingsgrenzen, zoals bij het schakelen tussen abonnementen, resourcegroepen of eigenaren.
  • Regio's verplaatsen vanwege nalevingsgrenzen of risico's in een bepaalde regio.
  • Overstappen op een nieuw aanbod, zoals van Azure Key Vault naar Azure Managed HSM, dat meer beveiliging, isolatie en naleving biedt dan Key Vault Premium.

Hieronder bespreken we verschillende methoden voor het migreren van workloads om een nieuwe sleutel te gebruiken, in een nieuwe kluis of in een nieuwe beheerde HSM.

Azure Services met behulp van door de klant beheerde sleutel

Voor de meeste workloads die gebruikmaken van sleutels in Key Vault, is de meest effectieve manier om een sleutel te migreren naar een nieuwe locatie (een nieuwe beheerde HSM of nieuwe sleutelkluis in een ander abonnement of een andere regio) om:

  1. Maak een nieuwe sleutel in de nieuwe kluis of beheerde HSM.
  2. Zorg ervoor dat de workload toegang heeft tot deze nieuwe sleutel door de identiteit van de workload toe te voegen aan de juiste rol in Azure Key Vault of Door Azure beheerde HSM.
  3. Werk de workload bij om de nieuwe sleutel te gebruiken als de door de klant beheerde versleutelingssleutel.
  4. Behoud de oude sleutel totdat u de back-ups van de workloadgegevens die ze oorspronkelijk hebben beveiligd niet meer wilt.

Als u bijvoorbeeld Azure Storage wilt bijwerken om een nieuwe sleutel te gebruiken, volgt u de instructies in Door de klant beheerde sleutels configureren voor een bestaand opslagaccount - Azure Storage. De vorige door de klant beheerde sleutel is nodig totdat Opslag wordt bijgewerkt naar de nieuwe sleutel; zodra Opslag is bijgewerkt naar de nieuwe sleutel, is de vorige sleutel niet meer nodig.

Aangepaste toepassingen en versleuteling aan de clientzijde

Voor versleuteling aan de clientzijde of aangepaste toepassingen die u hebt gebouwd, die gegevens rechtstreeks versleutelen met behulp van de sleutels in Key Vault, is het proces anders:

  1. Maak de nieuwe sleutelkluis of beheerde HSM en maak een nieuwe sleutelversleutelingssleutel (KEK).
  2. Versleutel alle sleutels of gegevens die zijn versleuteld met de oude sleutel opnieuw met behulp van de nieuwe sleutel. (Als gegevens rechtstreeks zijn versleuteld door de sleutel in de sleutelkluis, kan dit enige tijd duren, omdat alle gegevens moeten worden gelezen, ontsleuteld en versleuteld met de nieuwe sleutel. Gebruik waar mogelijk envelopversleuteling om dergelijke sleutelrotaties sneller te maken).

Bij het opnieuw versleutelen van de gegevens raden we een sleutelhiërarchie op drie niveaus aan, waardoor KEK-rotatie in de toekomst eenvoudiger wordt: 1. De sleutelversleutelingssleutel in Azure Key Vault of beheerde HSM 1. De primaire sleutel 1. Gegevensversleutelingssleutels afgeleid van de primaire sleutel

  1. Gegevens controleren na de migratie (en vóór verwijdering).
  2. Verwijder geen oude sleutel-/sleutelkluis totdat u de back-ups van de eraan gekoppelde gegevens niet meer wilt.

Tenantsleutels migreren in Azure Information Protection

Het migreren van tenantsleutels in Azure Information Protection wordt 'opnieuw versleutelen' of 'uw sleutel rolling' genoemd. Door de klant beheerde bewerkingen voor de levenscyclus van AIP-tenantsleutels bevat gedetailleerde instructies voor het uitvoeren van deze bewerking.

Het is niet veilig om de oude tenantsleutel te verwijderen totdat u de inhoud of documenten die zijn beveiligd met de oude tenantsleutel niet meer nodig hebt. Als u documenten wilt migreren die door de nieuwe sleutel worden beveiligd, moet u het volgende doen:

  1. Verwijder de beveiliging van het document dat is beveiligd met de oude tenantsleutel.
  2. Pas de beveiliging opnieuw toe, waarbij de nieuwe tenantsleutel wordt gebruikt.

Volgende stappen