Udostępnij za pośrednictwem

Zrozumienie funkcji autorotacji w usłudze Azure Key Vault

Zasoby kryptograficzne, takie jak certyfikaty, klucze i wpisy tajne, mają ograniczone okresy istnienia. Najlepszym rozwiązaniem w zakresie zabezpieczeń jest regularne obracanie tych zasobów w celu zmniejszenia ryzyka naruszenia zabezpieczeń i zapewnienia zgodności z zasadami zabezpieczeń. Usługa Azure Key Vault zapewnia funkcje automatyzacji do rotacji tych zasobów, pomagając organizacjom zachować wysoki poziom zabezpieczeń przy minimalnym nakładzie pracy.

Co to jest autorotacja?

Autorotacja to proces automatycznego zastępowania zasobów kryptograficznych nowymi w wstępnie zdefiniowanych odstępach czasu lub w odpowiedzi na określone zdarzenia. W usłudze Azure Key Vault możliwości autorotacji różnią się w zależności od typu zasobu:

  • Klucze: Automatyczne generowanie nowych wersji kluczy na podstawie skonfigurowanych zasad rotacji
  • Wpisy tajne: wyzwalane przez zdarzenia aktualizacje wpisów tajnych z integracją z systemami, które ich używają
  • Certyfikaty: automatyczne odnawianie certyfikatów przed ich wygaśnięciem

Zalety autorotation

Implementowanie autorotation dla zasobów kryptograficznych zapewnia kilka korzyści:

  • Zwiększone zabezpieczenia: regularna rotacja materiałów kryptograficznych zmniejsza ryzyko naruszenia zabezpieczeń
  • Uproszczona zgodność: spełnianie wymagań prawnych i organizacyjnych dotyczących zarządzania cyklem życia zasobów kryptograficznych
  • Wydajność operacyjna: zmniejszenie nakładu pracy ręcznej i ryzyko błędu ludzkiego w procesach rotacji
  • Zmniejszony przestój: Aktywna rotacja przed wygaśnięciem zapobiega przerwom w działaniu usługi
  • Skalowalne zarządzanie: automatyzowanie rotacji wielu zasobów i usług

Autorotacja dla różnych typów zasobów

Autorotacja klucza

Klucze w usłudze Azure Key Vault można skonfigurować przy użyciu zasad rotacji, które automatycznie generują nowe wersje kluczy o określonych częstotliwościach. Jest to przydatne w przypadku kluczy używanych jako klucze zarządzane przez klienta (CMK) w usługach platformy Azure.

Kluczowe wsparcie dla autorotacji:

  • Konfigurowalne interwały rotacji (co najmniej siedem dni)
  • Powiadomienia o zbliżanym wygaśnięciu za pośrednictwem usługi Event Grid
  • Rotacja na żądanie oprócz zaplanowanej rotacji
  • Integracja z usługami platformy Azure przy użyciu cmks

Dowiedz się, jak skonfigurować autorotytację klucza w usłudze Azure Key Vault

Tajna autorotacja

Wpisy tajne w usłudze Azure Key Vault można skonfigurować pod kątem autorotacji przy użyciu funkcji platformy Azure wyzwalanych przez zdarzenia usługi Event Grid. Jest to przydatne w przypadku poświadczeń bazy danych, kluczy interfejsu API i innych poufnych informacji, które wymagają regularnych aktualizacji.

Obsługi autorotacji tajnej:

  • Wyzwalanie oparte na zdarzeniach za pośrednictwem usługi Event Grid
  • Integracja z usługą Azure Functions na potrzeby niestandardowej logiki rotacji
  • Powiadomienia o zbliżanym wygaśnięciu dla przypomnień dotyczących ręcznej rotacji
  • Aktualizowanie usług zależnych przy użyciu nowych tajnych wartości

Usługa Azure Key Vault obsługuje dwa scenariusze rotacji wpisów tajnych:

Autorotacja certyfikatu

Certyfikaty przechowywane w usłudze Azure Key Vault można automatycznie odnawiać przed ich wygaśnięciem. Usługa Key Vault obsługuje odnawianie certyfikatów za pomocą zintegrowanych urzędów certyfikacji (CA) lub przez ponowne odnawianie certyfikatu z podpisem własnym.

Obsługa autorotacji certyfikatu:

  • Konfiguracja okresów ważności
  • Automatyczne odnawianie w określonym procentach całego czasu działania lub dni przed jego wygaśnięciem
  • Powiadomienia e-mail dotyczące wygaśnięcia certyfikatu
  • Integracja z urzędami certyfikacji, takimi jak DigiCert i GlobalSign

Dowiedz się, jak skonfigurować autorotację certyfikatów w usłudze Azure Key Vault

Najlepsze rozwiązania dotyczące autorotacji

Podczas implementowania autorotacji w usłudze Azure Key Vault należy wziąć pod uwagę następujące najlepsze rozwiązania:

  1. Używanie przechowywania wersji: upewnij się, że systemy odwołują się do najnowszej wersji klucza, certyfikatu lub wpisu tajnego automatycznie
  2. Implementowanie odpowiednich kontroli dostępu: użyj Azure RBAC, aby kontrolować, kto może skonfigurować polityki rotacji
  3. Monitorowanie zdarzeń rotacji: konfigurowanie powiadomień i alertów dotyczących pomyślnych i zakończonych niepowodzeniem rotacji
  4. Procedury testowania rotacji: Zweryfikuj, czy systemy zależne mogą prawidłowo obsługiwać obrócone zasoby
  5. Konfigurowanie odpowiednich częstotliwości rotacji: Równoważenie wymagań dotyczących zabezpieczeń przy użyciu zagadnień operacyjnych
  6. Procedury alternatywne dla dokumentu: Udokumentuj ręczne procesy rotacji na potrzeby sytuacji awaryjnych
  7. Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń: Implementowanie kompleksowych środków zabezpieczeń zgodnie z opisem w temacie Zabezpieczanie usługi Azure Key Vault

Typowe scenariusze autorotation

Klucze zarządzane przez klienta dla usług platformy Azure

Wiele usług platformy Azure obsługuje szyfrowanie za pomocą kluczy zarządzanych przez klienta przechowywanych w usłudze Key Vault. Po skonfigurowaniu tych kluczy do autorotacji usługi automatycznie używają najnowszej wersji klucza do nowych operacji szyfrowania przy zachowaniu dostępu do danych zaszyfrowanych przy użyciu poprzednich wersji.

Poświadczenia bazy danych

Poświadczenia bazy danych przechowywane jako wpisy tajne w usłudze Key Vault można automatycznie odnawiać przy użyciu aplikacji funkcjonalnych, które nie tylko aktualizują wpis tajny w usłudze Key Vault, ale także stosują nowe poświadczenia do bazy danych.

Klucze API i dane uwierzytelniające usługi

Autorotyzowanie kluczy interfejsu API i poświadczeń usługi pomaga zachować bezpieczeństwo przez ograniczenie okresu istnienia tych poufnych zasobów. Implementując rotację za pomocą usługi Azure Functions, można zaktualizować zarówno usługę Key Vault, jak i usługi docelowe.

Dalsze kroki