Поделиться через

Перенос ключевых рабочих нагрузок

  • Статья

Azure Key Vault и Управляемый HSM Azure не позволяют экспортировать ключи, защищать материал ключа и гарантировать, что свойства HSM ключей не могут быть изменены.

Если вы хотите, чтобы ключ был высокопортимным, лучше всего создать его в поддерживаемом HSM и импортировать его в Azure Key Vault или Управляемый HSM Azure.

Примечание.

Единственное исключение заключается в том, что ключ создается с политикой выпуска ключа, ограничивающей экспорт в конфиденциальные анклавы вычислений, которым вы доверяете для обработки материала ключа. Такие операции безопасного ключа не являются экспортом ключа общего назначения.

Существует несколько сценариев, требующих миграции ключевых рабочих нагрузок:

  • Переключение границ безопасности, например при переключении между подписками, группами ресурсов или владельцами.
  • Перемещение регионов из-за границ соответствия или рисков в данном регионе.
  • Переход на новое предложение, например из Azure Key Vault в управляемый HSM Azure, который обеспечивает большую безопасность, изоляцию и соответствие, чем Key Vault Premium.

Ниже мы рассмотрим несколько методов переноса рабочих нагрузок для использования нового ключа либо в новое хранилище, либо в новое управляемое устройство HSM.

Службы Azure с помощью ключа, управляемого клиентом

Для большинства рабочих нагрузок, использующих ключи в Key Vault, наиболее эффективным способом переноса ключа в новое расположение (новое управляемое устройство HSM или новое хранилище ключей в другой подписке или регионе) является следующее:

  1. Создайте новый ключ в новом хранилище или управляемом HSM.
  2. Убедитесь, что рабочая нагрузка имеет доступ к этому новому ключу, добавив удостоверение рабочей нагрузки в соответствующую роль в Azure Key Vault или Управляемом HSM Azure.
  3. Обновите рабочую нагрузку, чтобы использовать новый ключ в качестве управляемого клиентом ключа шифрования.
  4. Сохраните старый ключ, пока не хотите, чтобы резервные копии данных рабочей нагрузки, которые они изначально защищали.

Например, чтобы обновить служба хранилища Azure для использования нового ключа, следуйте инструкциям по настройке ключей, управляемых клиентом, для существующей учетной записи хранения служба хранилища Azure. Предыдущий управляемый клиентом ключ необходим, пока хранилище не будет обновлено до нового ключа; После успешного обновления хранилища до нового ключа предыдущий ключ больше не нужен.

Пользовательские приложения и шифрование на стороне клиента

Для шифрования на стороне клиента или пользовательских приложений, которые напрямую шифруют данные с помощью ключей в Key Vault, процесс отличается:

  1. Создайте новое хранилище ключей или управляемый HSM и создайте новый ключ шифрования ключей (KEK).
  2. Повторно зашифруйте все ключи или данные, зашифрованные старым ключом, с помощью нового ключа. (Если данные были непосредственно зашифрованы ключом в хранилище ключей, это может занять некоторое время, так как все данные должны быть считываются, расшифровываются и шифруются с помощью нового ключа. Используйте шифрование конверта, где это возможно, чтобы ускорить смену ключей).

При повторном шифровании данных рекомендуется трехуровневая иерархия ключей, которая упрощает смену KEK в будущем: 1. Ключ шифрования ключей в Azure Key Vault или управляемом HSM 1. Первичный ключ 1. Ключи шифрования данных, производные от первичного ключа

  1. Проверьте данные после миграции (и перед удалением).
  2. Не удаляйте старое хранилище ключей и ключей, пока вы больше не хотите, чтобы резервные копии данных, связанных с ним.

Перенос ключей клиента в Azure Information Protection

Перенос ключей клиента в Azure Information Protection называется "переключение" или "переключение ключа". Управляемые клиентом операции жизненного цикла ключа клиента AIP содержат подробные инструкции по выполнению этой операции.

Небезопасно удалить старый ключ клиента, пока вам больше не потребуется содержимое или документы, защищенные старым ключом клиента. Если вы хотите перенести документы, которые будут защищены новым ключом, необходимо:

  1. Удалите защиту из документа, защищенного старым ключом клиента.
  2. Снова примените защиту, которая будет использовать новый ключ клиента.

Следующие шаги