Zarządzanie kluczami zarządzanymi przez klienta dla usługi Azure Elastic SAN
Wszystkie dane zapisywane w woluminie Elastic SAN są automatycznie szyfrowane w spoczynku przy użyciu klucza szyfrowania danych (DEK). Usługa Azure DEKs jest zawsze zarządzana przez platformę (zarządzana przez firmę Microsoft). Platforma Azure używa szyfrowania kopert, nazywanego również zawijaniem, które polega na użyciu klucza szyfrowania kluczy (KEK) do szyfrowania klucza szyfrowania kluczy. Domyślnie klucz KEK jest zarządzany przez platformę, ale możesz utworzyć własny klucz KEK i zarządzać nim. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania mechanizmami kontroli dostępu i mogą pomóc spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności.
Kontrolujesz wszystkie aspekty kluczy szyfrowania kluczy, w tym:
- Który klucz jest używany
- Gdzie są przechowywane klucze
- Jak są obracane klucze
- Możliwość przełączania się między kluczami zarządzanymi przez klienta i zarządzanymi przez platformę
W tym artykule wyjaśniono, jak zarządzać kluczami KEKs zarządzanymi przez klienta.
Uwaga
Szyfrowanie kopert umożliwia zmianę konfiguracji klucza bez wpływu na woluminy elastycznej sieci SAN. Po zmianie usługa Elastic SAN ponownie szyfruje klucze szyfrowania danych przy użyciu nowych kluczy. Ochrona klucza szyfrowania danych zmienia się, ale dane w woluminach elastic SAN pozostają szyfrowane przez cały czas. Użytkownik nie musi podejmować żadnych dodatkowych działań, aby zapewnić ochronę swoich danych. Zmiana konfiguracji klucza nie ma wpływu na wydajność i nie ma żadnych przestojów związanych z taką zmianą.
Ograniczenia
Poniższa lista zawiera regiony, w których jest obecnie dostępna elastyczna sieć SAN i które regiony obsługują magazyn strefowo nadmiarowy (ZRS) i magazyn lokalnie nadmiarowy (LRS) lub tylko magazyn LRS:
- Republika Południowej Afryki Północnej — LRS
- Azja Wschodnia — LRS
- Azja Południowo-Wschodnia — LRS
- Brazylia Południowa — LRS
- Kanada Środkowa — LRS
- Francja Środkowa — LRS i ZRS
- Niemcy Zachodnio-środkowe — LRS
- Australia Wschodnia — LRS
- Europa Północna — LRS i ZRS
- Europa Zachodnia — LRS i ZRS
- Południowe Zjednoczone Królestwo — LRS
- Japonia Wschodnia — LRS
- Korea Środkowa — LRS
- Środkowe stany USA
- Wschodnie stany USA — LRS
- Południowo-środkowe stany USA — LRS
- Wschodnie stany USA 2 — LRS
- Zachodnie stany USA 2 — LRS i ZRS
- Zachodnie stany USA 3 — LRS
- Szwecja Środkowa — LRS
- Szwajcaria Północna — LRS
Zmienianie klucza
Klucz używany do szyfrowania Azure Elastic SAN można zmienić w dowolnym momencie.
Aby zmienić klucz przy użyciu programu PowerShell, wywołaj metodę Update-AzElasticSanVolumeGroup i podaj nową nazwę klucza i wersję. Jeśli nowy klucz znajduje się w innym magazynie kluczy, należy również zaktualizować identyfikator URI magazynu kluczy.
Jeśli nowy klucz znajduje się w innym magazynie kluczy, musisz udzielić tożsamości zarządzanej dostępu do klucza w nowym magazynie. Jeśli zdecydujesz się na ręczną aktualizację wersji klucza, musisz również zaktualizować identyfikator URI magazynu kluczy.
Aktualizowanie wersji klucza
Poniższe najlepsze rozwiązania kryptograficzne oznaczają rotację klucza, który chroni grupę woluminów Elastic SAN zgodnie z regularnym harmonogramem, zwykle co najmniej co dwa lata. Usługa Azure Elastic SAN nigdy nie modyfikuje klucza w magazynie kluczy, ale można skonfigurować zasady rotacji kluczy w celu rotacji klucza zgodnie z wymaganiami dotyczącymi zgodności. Aby uzyskać więcej informacji, zobacz Konfigurowanie automatycznego obracania kluczy kryptograficznych w usłudze Azure Key Vault.
Po rotacji klucza w magazynie kluczy należy zaktualizować konfigurację klucza KEK zarządzanego przez klienta dla elastycznej grupy woluminów SAN w celu użycia nowej wersji klucza. Klucze zarządzane przez klienta obsługują zarówno automatyczne, jak i ręczne aktualizowanie wersji klucza szyfrowania kluczy. Możesz zdecydować, które podejście ma być używane podczas początkowego konfigurowania kluczy zarządzanych przez klienta lub podczas aktualizowania konfiguracji.
Podczas modyfikowania klucza lub wersji klucza ochrona głównego klucza szyfrowania zmienia się, ale dane w grupie woluminów Elastic SAN platformy Azure pozostają szyfrowane przez cały czas. Ze swojej strony nie jest wymagana dodatkowa akcja, aby upewnić się, że dane są chronione. Rotacja wersji klucza nie ma wpływu na wydajność i nie ma przestoju związanego z rotacją wersji klucza.
Ważne
Aby obrócić klucz, utwórz nową wersję klucza w magazynie kluczy zgodnie z wymaganiami dotyczącymi zgodności. Usługa Azure Elastic SAN nie obsługuje rotacji kluczy, dlatego należy zarządzać rotacją klucza w magazynie kluczy.
W przypadku rotacji klucza używanego dla kluczy zarządzanych przez klienta ta akcja nie jest obecnie rejestrowana w dziennikach usługi Azure Monitor dla usługi Azure Elastic SAN.
Automatyczna aktualizacja wersji klucza
Aby automatycznie zaktualizować klucz zarządzany przez klienta po udostępnieniu nowej wersji, pomiń wersję klucza po włączeniu szyfrowania za pomocą kluczy zarządzanych przez klienta dla grupy woluminów Elastic SAN. Jeśli wersja klucza zostanie pominięta, usługa Azure Elastic SAN sprawdza magazyn kluczy codziennie pod kątem nowej wersji klucza zarządzanego przez klienta. Jeśli jest dostępna nowa wersja klucza, usługa Azure Elastic SAN automatycznie używa najnowszej wersji klucza.
Usługa Azure Elastic SAN sprawdza magazyn kluczy pod kątem nowej wersji klucza tylko raz dziennie. Podczas obracania klucza pamiętaj, aby poczekać 24 godziny przed wyłączeniem starszej wersji.
Jeśli grupa woluminów Elastic SAN została wcześniej skonfigurowana do ręcznego aktualizowania wersji klucza i chcesz zmienić ją automatycznie, może być konieczne jawne zmianę wersji klucza na pusty ciąg. Aby uzyskać szczegółowe informacje na temat tego, jak to zrobić, zobacz Ręczne obracanie wersji klucza.
Ręczne aktualizowanie wersji klucza
Aby użyć określonej wersji klucza dla szyfrowania Elastycznej sieci SAN platformy Azure, określ tę wersję klucza po włączeniu szyfrowania za pomocą kluczy zarządzanych przez klienta dla elastycznej grupy woluminów SIECI SAN. Jeśli określisz wersję klucza, usługa Azure Elastic SAN używa tej wersji do szyfrowania do momentu ręcznego zaktualizowania wersji klucza.
Po jawnym określeniu wersji klucza należy ręcznie zaktualizować grupę woluminów Elastic SAN, aby używać nowego identyfikatora URI wersji klucza podczas tworzenia nowej wersji. Aby dowiedzieć się, jak zaktualizować grupę woluminów Elastic SAN tak, aby korzystała z nowej wersji klucza, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault.
Odwoływanie dostępu do grupy woluminów korzystającej z kluczy zarządzanych przez klienta
Aby tymczasowo odwołać dostęp do elastycznej grupy woluminów SIECI SAN korzystającej z kluczy zarządzanych przez klienta, wyłącz klucz używany obecnie w magazynie kluczy. Nie ma wpływu na wydajność ani przestoju związanego z wyłączeniem i ponownym opublikowaniem klucza.
Po wyłączeniu klucza klienci nie mogą wywoływać operacji odczytujących lub zapisujących do woluminów w grupie woluminów lub ich metadanych.
Uwaga
Po wyłączeniu klucza w magazynie kluczy dane w grupie woluminów Elastic SAN platformy Azure pozostają zaszyfrowane, ale stają się niedostępne do momentu ponownego włączenia klucza.
Aby odwołać klucz zarządzany przez klienta za pomocą programu PowerShell, wywołaj polecenie Update-AzKeyVaultKey , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami, aby zdefiniować zmienne, lub użyć zmiennych zdefiniowanych w poprzednich przykładach.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Przełącz się z powrotem do kluczy zarządzanych przez platformę
Klucze zarządzane przez klienta można przełączać z powrotem do kluczy zarządzanych przez platformę w dowolnym momencie przy użyciu modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez platformę za pomocą programu PowerShell, wywołaj polecenie Update-AzElasticSanVolumeGroup z opcją -Encryption , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey