Gerenciar chaves gerenciadas pelo cliente para a Azure Elastic SAN
Todos os dados gravados em um volume do Elastic SAN são criptografados em repouso automaticamente com uma Chave de Criptografia de Dados (DEK). As DEKs do Azure são sempre gerenciadas pela plataforma (gerenciadas pela Microsoft). O Azure usa uma criptografia de envelope, também conhecida como encapsulamento, que envolve o uso de uma Chave de Criptografia de Chave (KEK) para criptografar a DEK. Por padrão, a KEK é gerenciada pela plataforma, mas você pode criar e gerenciar sua própria KEK. As chaves gerenciadas pelo cliente oferecem maior flexibilidade para gerenciar controles de acesso e podem ajudar você a cumprir os requisitos de segurança e conformidade da sua organização.
Você controla todos os aspectos das suas chaves de criptografia de chave, incluindo:
- Qual chave é usada
- Onde suas chaves são armazenadas
- Como as chaves são rotacionadas
- A capacidade de alternar entre as chaves gerenciadas pelo cliente e as chaves gerenciadas pela plataforma
Este artigo explica como gerenciar suas KEKs gerenciadas pelo cliente.
Observação
A criptografia de envelope permite que você altere a configuração da sua chave sem afetar seus volumes de Elastic SAN. Quando você faz uma alteração, o serviço Elastic SAN recriptografa as chaves de criptografia de dados com as novas chaves. A proteção da chave de criptografia de dados muda, mas os dados nos seus volumes do Elastic SAN permanecem criptografados em todos os momentos. Não há nenhuma ação adicional necessária de sua parte para garantir que seus dados estejam protegidos. Alterar a configuração da chave não afeta o desempenho e não existe nenhum tempo de inatividade associado a essa alteração.
Limitações
A lista a seguir contém as regiões em que o Elastic SAN está disponível no momento e quais regiões dão suporte ao armazenamento com redundância de zona (ZRS) e ao armazenamento com redundância local (LRS) ou apenas LRS:
- Leste da Austrália – LRS
- Sul do Brasil – LRS
- Canadá Central: LRS
- EUA Central – LRS
- Leste da Ásia: LRS
- Leste dos EUA – LRS
- Leste dos EUA 2 – LRS
- França Central – LRS e ZRS
- Centro-Oeste da Alemanha: LRS
- Índia Central — LRS
- Leste do Japão: LRS
- Coreia Central: LRS
- Norte da Europa – LRS e ZRS
- Leste da Noruega — LRS
- Norte da África do Sul: LRS
- Centro-Sul dos EUA – LRS
- Sudeste da Ásia – LRS
- Suécia Central – LRS
- Norte da Suíça: LRS
- Norte dos EAU — LRS
- Sul do Reino Unido – LRS
- Oeste da Europa – LRS e ZRS
- Oeste dos EUA 2 – LRS e ZRS
- Oeste dos EUA 3 – LRS
A Elastic SAN também está disponível nas seguintes regiões, mas sem suporte à Zona de Disponibilidade:
- Leste do Canadá – LRS
- Oeste do Japão – LRS
- Centro-Norte dos EUA – LRS
A fim de habilitar essas regiões, execute o seguinte comando para registrar o sinalizador de recurso necessário:
Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"
Alterar a chave
Você pode alterar a chave que estiver usando para a criptografia do Azure Elastic SAN a qualquer momento.
Para alterar a chave com o PowerShell, chame Update-AzElasticSanVolumeGroup e forneça o novo nome e versão da chave. Se a nova chave estiver em um cofre de chaves diferente, você também deverá atualizar o URI do cofre de chaves.
Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se optar pela atualização manual da versão da chave, você também precisará atualizar o URI do cofre de chaves.
Atualizar a versão da chave
Seguir as melhores práticas de criptografia significa rotacionar a chave que está protegendo seu grupo de volumes do Elastic SAN de acordo com um cronograma de rotina, de modo geral no mínimo a cada dois anos. O Azure Elastic SAN nunca modifica a chave no cofre de chaves, mas você pode configurar uma política de rotação de chaves para rotacionar a chave de acordo com seus requisitos de conformidade. Para obter mais informações, consulte Como configurar a rotação automática da chave de criptografia no Azure Key Vault.
Após a chave ser rotacionada no cofre de chaves, a configuração da KEK gerenciada pelo cliente para o seu grupo de volumes do Elastic SAN precisa ser atualizada para usar a nova versão da chave. As chaves gerenciadas pelo cliente dão suporte tanto à atualização da versão da KEK automática quanto à manual. Você pode decidir qual abordagem quer usar ao configurar inicialmente as chaves gerenciadas pelo cliente ou quando atualizar sua configuração.
Quando você modifica a chave ou a versão da chave, a proteção da chave de criptografia raiz muda, mas os dados no seu grupo de volumes do Elastic SAN permanecem criptografados em todos os momentos. Nenhuma ação adicional é necessária da sua parte para garantir que seus dados estejam protegidos. Rotacionar a versão da chave não afeta o desempenho e não há nenhum tempo de inatividade associado à rotação da versão da chave.
Importante
Para rotacionar uma chave, crie uma nova versão da mesma no cofre de chaves de acordo com seus requisitos de conformidade. O Azure Elastic SAN não se encarrega da rotação de chaves, então você vai precisar gerenciar a rotação da chave no cofre de chaves.
Quando você rotaciona a chave usada para as chaves gerenciadas pelo cliente, no momento essa ação não é registrada nos logs do Azure Monitor para o Azure Elastic SAN.
Atualizar automaticamente a versão da chave
Para atualizar automaticamente uma chave gerenciada pelo cliente quando uma nova versão estiver disponível, omita a versão da chave ao habilitar a criptografia com chaves gerenciadas pelo cliente para o grupo de volumes do Elastic SAN. Se a versão da chave for omitida, o Elastic SAN irá verificar o cofre de chaves diariamente para verificar se há uma nova versão de uma chave gerenciada pelo cliente. Se uma nova versão da chave estiver disponível, o Azure Elastic SAN usará automaticamente a versão mais recente da chave.
O Azure Elastic SAN verifica o cofre de chaves para detectar uma nova versão de chave apenas uma vez por dia. Ao rotacionar uma chave, aguarde 24 horas antes de desabilitar a versão mais antiga.
Se o grupo de volumes do Elastic SAN tiver sido configurado anteriormente para atualização manual da versão da chave e você quiser alterá-lo para atualização automática, talvez seja necessário alterar explicitamente a versão da chave para uma cadeia de caracteres vazia. Para obter detalhes sobre como fazer isso, confira Rotação manual da versão da chave.
Atualizar manualmente a versão da chave
Para usar uma versão específica de uma chave para a criptografia do Azure Elastic SAN, especifique essa versão de chave quando você habilitar a criptografia com chaves gerenciadas pelo cliente para o grupo de volumes do Elastic SAN. Se você especificar a versão de chave, o Azure Elastic SAN usará essa versão para a criptografia até que você atualize a versão da chave manualmente.
Quando a versão de chave estiver especificada explicitamente, você precisará atualizar o grupo de volumes do Elastic SAN manualmente para usar o URI da nova versão da chave quando uma nova versão for criada. Para saber como atualizar o grupo de volumes do Elastic SAN para usar uma nova versão da chave, confira Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Azure Key Vault.
Revogar o acesso a um grupo de volumes que usa chaves gerenciadas pelo cliente
Para revogar temporariamente o acesso a um grupo de volumes do Elastic SAN que estiver usando chaves gerenciadas pelo cliente, desabilite a chave que está sendo usada no cofre de chaves no momento. Não há nenhum impacto sobre o desempenho e nenhum tempo de inatividade associados à desabilitação ou nova habilitação da chave.
Após a chave ter sido desabilitada, os clientes não poderão chamar operações que leiam ou gravem em volumes no grupo de volumes ou respectivos metadados.
Cuidado
Quando você desabilita a chave no cofre de chaves, os dados no grupo de volumes do seu Azure Elastic SAN permanecem criptografados, mas se tornam inacessíveis até você habilitar a chave novamente.
Para revogar uma chave gerenciada pelo cliente com o PowerShell, chame o comando Update-AzKeyVaultKey, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes pelos seus valores para definir as variáveis ou use as variáveis definidas nos exemplos anteriores.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Migrar de volta para as chaves gerenciadas pela plataforma
Você pode alternar de chaves gerenciadas pelo cliente para chaves gerenciadas pela plataforma a qualquer momento, usando o módulo do Azure PowerShell ou a CLI do Azure.
Para migrar de volta das chaves gerenciadas pelo cliente para as chaves gerenciadas pela plataforma com o PowerShell, chame Update-AzElasticSanVolumeGroup com a opção -Encryption, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores do espaço reservado por seus próprios valores e de usar as variáveis definidas nos exemplos anteriores.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey