Como migrar cargas de trabalho importantes

O Azure Key Vault e o Azure Managed HSM não permitem a exportação de chaves, para proteger o material da chave e garantir que as propriedades do HSM das chaves não possam ser alteradas.

Se você quiser que uma chave seja altamente portátil, é melhor criá-la em um HSM com suporte e importá-la para o Azure Key Vault ou para o Azure Managed HSM.

Observação

A única exceção à regra de não exportação é quando você cria uma chave com uma política específica de liberação de chave. Esta política permite que a chave seja exportada apenas para ambientes de computação confidenciais confiáveis (enclaves seguros) definidos explicitamente. Essa capacidade de exportação limitada foi projetada para cenários de computação seguros específicos e não é o mesmo que uma exportação de chave de uso geral.

Há vários cenários que exigem a migração de cargas de trabalho principais:

• Alternar limites de segurança, como ao alternar entre assinaturas, grupos de recursos ou proprietários.
• Mudança de regiões devido a limites de conformidade ou riscos em uma determinada região.
• Você está mudando para uma nova oferta, como do Azure Key Vault para o Azure Managed HSM, que oferece mais segurança, isolamento e conformidade do que o Key Vault Premium.

Abaixo, discutimos vários métodos para migrar cargas de trabalho para usar uma nova chave, seja num novo cofre ou num novo HSM gerido.

Serviços do Azure usando chave gerenciada pelo cliente

Para a maioria das cargas de trabalho que usam chaves no Cofre de Chaves, a maneira mais eficaz de migrar uma chave para um novo local (um novo HSM gerenciado ou um novo cofre de chaves em uma assinatura ou região diferente) é:

1. Crie uma nova chave num cofre novo ou num HSM gerido.
2. Conceda à sua carga de trabalho acesso à nova chave atribuindo a identidade gerenciada da carga de trabalho à função RBAC apropriada no Cofre da Chave do Azure ou no HSM Gerenciado do Azure.
3. Atualize a carga de trabalho para usar a nova chave como a chave de criptografia gerenciada pelo cliente.
4. Mantenha a chave antiga até não desejar mais os backups dos dados da carga de trabalho que a chave protegeu originalmente.

Exemplo: Migrando o Armazenamento do Azure para uma nova chave gerenciada pelo cliente

Se estiver a utilizar chaves geridas pelo cliente com o Armazenamento do Azure, pode migrar para uma nova chave seguindo estes passos:

1. Crie a nova chave no cofre de chaves de destino ou no HSM gerido.
2. Siga as instruções em Configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente para atualizar sua conta de armazenamento para usar a nova chave.
3. Mantenha sua chave gerenciada pelo cliente anterior disponível até que o serviço de armazenamento seja totalmente transferido para a nova chave.
4. Depois de confirmar que todas as operações estão funcionando corretamente com a nova chave, você pode desativar com segurança a chave anterior (mas não a exclua se precisar acessar backups mais antigos).

Este padrão aplica-se a muitos serviços do Azure que suportam chaves geridas pelo cliente.

Aplicativos personalizados e criptografia do lado do cliente

Para criptografia do lado do cliente ou aplicativos personalizados que criptografam dados diretamente usando as chaves no Cofre de Chaves, o processo é diferente:

1. Crie o novo cofre de chaves ou HSM gerenciado e crie uma nova chave de criptografia de chave (KEK).
2. Criptografe novamente todas as chaves ou dados criptografados pela chave antiga usando a nova chave. (Se os dados forem diretamente criptografados pela chave no cofre de chaves, isso pode levar algum tempo, pois todos os dados devem ser lidos, descriptografados e criptografados com a nova chave. Use a criptografia de envelope sempre que possível para tornar essas rotações de chave mais rápidas).

Ao criptografar novamente os dados, recomendamos uma hierarquia de chaves de três níveis, o que facilitará a rotação do KEK no futuro: 1. A chave de criptografia de chave no Cofre de Chaves do Azure ou no HSM gerenciado 1. A Chave Primária 1. Chaves de criptografia de dados derivadas da chave primária

1. Verifique os dados após a migração (e antes da exclusão).
2. Não exclua o cofre de chaves/chaves antigo até não desejar mais os backups dos dados associados a ele.

Migrando chaves do arrendatário no Azure Information Protection

A migração de chaves de locatário na Proteção de Informações do Azure é conhecida como "rechaveamento" ou "rolagem de chave". Gerenciado pelo cliente - As operações do ciclo de vida da chave do locatário AIP têm instruções detalhadas sobre como executar essa operação.

Não é seguro excluir a chave de locatário antiga até que você não precise mais do conteúdo ou dos documentos protegidos com a chave de locatário antiga. Se você quiser migrar documentos para serem protegidos pela nova chave, você deve:

1. Remova a proteção do documento protegido com a chave de locatário antiga.
2. Aplique a proteção novamente, que usará a nova chave de locatário.

Transição para a plataforma HSM 2

O Azure Key Vault atualizou sua plataforma HSM para fornecer segurança aprimorada com a validação FIPS 140 Nível 3. Todas as novas chaves e versões de chaves agora são criadas usando a Plataforma HSM 2 (exceto a geografia do Reino Unido). Você pode verificar qual plataforma HSM está protegendo sua chave observando seu atributo hsmPlatform .

Para fazer a transição das suas cargas de trabalho para chaves protegidas pela plataforma HSM 2:

1. Criar novas chaves na plataforma HSM 2

   • Se você tiver uma política de rotação de chaves configurada, uma nova versão de chave será criada automaticamente na próxima rotação agendada.
   • Se nenhuma política de rotação estiver configurada, crie manualmente uma nova versão de chave que usará automaticamente o HSM Platform 2.

2. Teclas rolantes para diferentes serviços

   • Chaves gerenciadas pelo cliente (CMK):
     • Se a rotação automática das chaves estiver habilitada para o serviço, a nova chave será aplicada automaticamente quando criada.
     • Se a rotação automática não estiver configurada, atualize o serviço para usar a nova chave manualmente usando as definições de configuração de chave do serviço.
   • Proteção de Informações do Azure (AIP):
     • Consulte a seção de migração de chave de cliente do AIP para obter etapas detalhadas de migração.
   • Aplicações personalizadas:
     • Siga as diretrizes de aplicativos personalizados para garantir uma transição suave.

Os benefícios da transição para a Plataforma HSM 2 incluem conformidade de segurança aprimorada com a validação FIPS 140 Nível 3. Como todas as novas chaves são criadas automaticamente na plataforma mais recente, essa transição se aplica principalmente à atualização de cargas de trabalho existentes para usar versões de chave mais recentes.

Próximos passos

• Sobre o Azure Key Vault
• Noções básicas sobre rotação automática no Azure Key Vault
• Sobre o Azure Key Vault Managed HSM?
• O gerenciamento de chaves é o Azure