Share via

Como migrar cargas de trabalho principais

  • Artigo

O Azure Key Vault e o Azure Managed HSM não permitem a exportação de chaves, para proteger o material de chave e garantir que as propriedades do HSM das chaves não podem ser alteradas.

Se quiser que uma chave seja altamente portátil, é melhor criá-la num HSM suportado e importá-la para o Azure Key Vault ou para o Azure Managed HSM.

Nota

A única exceção é se uma chave for criada com uma política de lançamento de chaves que restringe as exportações para enclaves de computação confidenciais em que confia para processar o material de chave. Estas operações de chave segura não são exportações para fins gerais da chave.

Existem vários cenários que requerem a migração de cargas de trabalho principais:

  • Alternar entre limites de segurança, como ao alternar entre subscrições, grupos de recursos ou proprietários.
  • Mover regiões devido a limites de conformidade ou riscos numa determinada região.
  • Mudar para uma nova oferta, como do Azure Key Vault para o Azure Managed HSM, que oferece maior segurança, isolamento e conformidade do que Key Vault Premium.

Abaixo, abordamos vários métodos para migrar cargas de trabalho para utilizar uma nova chave, quer para um novo cofre, quer para um novo HSM gerido.

Serviços do Azure com chave gerida pelo cliente

Para a maioria das cargas de trabalho que utilizam chaves no Key Vault, a forma mais eficaz de migrar uma chave para uma nova localização (um novo HSM gerido ou um novo cofre de chaves numa subscrição ou região diferente) é:

  1. Crie uma nova chave no novo cofre ou HSM gerido.
  2. Confirme que a carga de trabalho tem acesso a esta nova chave ao adicionar a identidade da carga de trabalho à função adequada no Azure Key Vault ou no Azure Managed HSM.
  3. Atualize a carga de trabalho para utilizar a nova chave como a chave de encriptação gerida pelo cliente.
  4. Mantenha a chave antiga até deixar de querer as cópias de segurança dos dados da carga de trabalho que a chave protegeu originalmente.

Por exemplo, para atualizar o Armazenamento do Azure para utilizar uma nova chave, siga as instruções em Configurar chaves geridas pelo cliente para uma conta de armazenamento existente – Armazenamento do Azure. A chave gerida pelo cliente anterior é necessária até que o Armazenamento seja atualizado para a nova chave; Depois de o Armazenamento ter sido atualizado com êxito para a nova chave, a chave anterior já não é necessária.

Aplicações personalizadas e encriptação do lado do cliente

Para a encriptação do lado do cliente ou aplicações personalizadas que criou, que encriptam diretamente os dados com as chaves no Key Vault, o processo é diferente:

  1. Crie o novo cofre de chaves ou o HSM gerido e crie uma nova chave de encriptação de chaves (KEK).
  2. Volte a encriptar quaisquer chaves ou dados que foram encriptados pela chave antiga com a nova chave. (Se os dados foram encriptados diretamente pela chave no cofre de chaves, isto pode demorar algum tempo, uma vez que todos os dados têm de ser lidos, desencriptados e encriptados com a nova chave. Utilize a encriptação de envelopes sempre que possível para tornar essas rotações de chaves mais rápidas).

Ao encriptar novamente os dados, recomendamos uma hierarquia de chaves de três níveis, o que tornará a rotação KEK mais fácil no futuro: 1. A Chave de Encriptação de Chaves no Azure Key Vault ou no HSM Gerido 1. A Chave Primária 1. Chaves de Encriptação de Dados derivadas da Chave Primária

  1. Verifique os dados após a migração (e antes da eliminação).
  2. Não elimine o cofre de chaves/chaves antigo até deixar de querer que as cópias de segurança dos dados sejam associadas ao mesmo.

Migrar chaves de inquilino no Azure Information Protection

Migrar chaves de inquilino no Azure Information Protection é referido como "recodificar" ou "implementar a chave". Gerido pelo cliente – as operações do ciclo de vida da chave de inquilino do AIP têm instruções detalhadas sobre como realizar esta operação.

Não é seguro eliminar a chave de inquilino antiga até que já não precise dos conteúdos ou documentos protegidos com a chave de inquilino antiga. Se quiser migrar documentos para serem protegidos pela nova chave, tem de:

  1. Remova a proteção do documento protegido com a chave de inquilino antiga.
  2. Aplique novamente a proteção, que utilizará a nova chave de inquilino.

Passos seguintes