Jak migrować kluczowe obciążenia

  • Artykuł

Usługa Azure Key Vault i zarządzany moduł HSM platformy Azure nie zezwalają na eksportowanie kluczy, aby chronić materiał klucza i upewnić się, że nie można zmienić właściwości modułu HSM kluczy.

Jeśli chcesz, aby klucz był wysoce przenośny, najlepiej utworzyć go w obsługiwanym module HSM i zaimportować go do usługi Azure Key Vault lub zarządzanego modułu HSM platformy Azure.

Uwaga

Jedynym wyjątkiem jest utworzenie klucza z zasadami wydania klucza ograniczającymi eksporty do poufnych enklaw obliczeniowych, którym ufasz w celu obsługi materiału klucza. Takie bezpieczne operacje klucza nie są eksportami klucza ogólnego przeznaczenia.

Istnieje kilka scenariuszy wymagających migracji kluczowych obciążeń:

  • Przełączanie granic zabezpieczeń, takich jak przełączanie między subskrypcjami, grupami zasobów lub właścicielami.
  • Przenoszenie regionów ze względu na granice zgodności lub zagrożenia w danym regionie.
  • Zmiana na nową ofertę, taką jak z usługi Azure Key Vault do zarządzanego modułu HSM platformy Azure, która zapewnia większe bezpieczeństwo, izolację i zgodność niż Key Vault Premium.

Poniżej omówiono kilka metod migracji obciążeń do użycia nowego klucza w nowym magazynie lub w nowym zarządzanym module HSM.

Usługi platformy Azure korzystające z klucza zarządzanego przez klienta

W przypadku większości obciążeń korzystających z kluczy w Key Vault najbardziej efektywnym sposobem migracji klucza do nowej lokalizacji (nowy zarządzany moduł HSM lub nowy magazyn kluczy w innej subskrypcji lub regionie) jest:

  1. Utwórz nowy klucz w nowym magazynie lub zarządzanym module HSM.
  2. Upewnij się, że obciążenie ma dostęp do tego nowego klucza, dodając tożsamość obciążenia do odpowiedniej roli w usłudze Azure Key Vault lub zarządzanym module HSM platformy Azure.
  3. Zaktualizuj obciążenie, aby użyć nowego klucza jako klucza szyfrowania zarządzanego przez klienta.
  4. Zachowaj stary klucz, dopóki nie chcesz już tworzyć kopii zapasowych danych obciążenia, które zostały pierwotnie chronione.

Aby na przykład zaktualizować usługę Azure Storage do użycia nowego klucza, postępuj zgodnie z instrukcjami w temacie Konfigurowanie kluczy zarządzanych przez klienta dla istniejącego konta magazynu — Azure Storage. Poprzedni klucz zarządzany przez klienta jest potrzebny do momentu zaktualizowania magazynu do nowego klucza; po pomyślnym zaktualizowaniu magazynu do nowego klucza poprzedni klucz nie jest już potrzebny.

Niestandardowe aplikacje i szyfrowanie po stronie klienta

W przypadku utworzonych aplikacji szyfrowania po stronie klienta lub niestandardowych, które bezpośrednio szyfrują dane przy użyciu kluczy w Key Vault, proces jest inny:

  1. Utwórz nowy magazyn kluczy lub zarządzany moduł HSM i utwórz nowy klucz szyfrowania kluczy (KEK).
  2. Ponownie zaszyfruj wszystkie klucze lub dane zaszyfrowane przez stary klucz przy użyciu nowego klucza. (Jeśli dane zostały bezpośrednio zaszyfrowane przez klucz w magazynie kluczy, może to zająć trochę czasu, ponieważ wszystkie dane muszą być odczytywane, odszyfrowywane i szyfrowane przy użyciu nowego klucza. Używaj szyfrowania kopert , jeśli jest to możliwe, aby takie rotacje kluczy szybciej.

Podczas ponownego szyfrowania danych zalecamy hierarchię trzech poziomów kluczy, co ułatwi rotację klucza KEK w przyszłości: 1. Klucz szyfrowania kluczy na platformie Azure Key Vault lub zarządzany moduł HSM 1. Klucz podstawowy 1. Klucze szyfrowania danych pochodzące z klucza podstawowego

  1. Sprawdź dane po migracji (i przed usunięciem).
  2. Nie usuwaj starego klucza/magazynu kluczy, dopóki nie chcesz już tworzyć kopii zapasowych danych skojarzonych z nim.

Migrowanie kluczy dzierżawy w usłudze Azure Information Protection

Migrowanie kluczy dzierżawy w usłudze Azure Information Protection jest określane jako "ponowne klucz" lub "rolling your key". Operacje cyklu życia klucza dzierżawy usługi AIP zarządzane przez klienta zawiera szczegółowe instrukcje dotyczące wykonywania tej operacji.

Nie można bezpiecznie usunąć starego klucza dzierżawy, dopóki nie będzie już potrzebna zawartość ani dokumenty chronione przy użyciu starego klucza dzierżawy. Jeśli chcesz przeprowadzić migrację dokumentów do ochrony za pomocą nowego klucza, musisz:

  1. Usuń ochronę z dokumentu chronionego starym kluczem dzierżawy.
  2. Ponownie zastosuj ochronę, która będzie używać nowego klucza dzierżawy.

Następne kroki