Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Kryptografiska tillgångar som certifikat, nycklar och hemligheter har begränsad livslängd. Som bästa säkerhet bör dessa tillgångar roteras regelbundet för att minska risken för intrång och säkerställa efterlevnad av säkerhetsprinciper. Azure Key Vault tillhandahåller automatiseringsfunktioner för att rotera dessa tillgångar, vilket hjälper organisationer att upprätthålla en stark säkerhetsstatus med minimala driftkostnader.
Vad är autorotation?
Autorotation är processen att automatiskt ersätta kryptografiska tillgångar med nya vid fördefinierade intervall eller som svar på specifika händelser. I Azure Key Vault varierar autorotationsfunktionerna beroende på tillgångstyp:
- Nycklar: Automatisk generering av nya nyckelversioner baserat på konfigurerade rotationsprinciper
- Hemligheter: Händelseutlösta uppdateringar av hemligheter med integrering till de system som använder dem
- Certifikat: Automatisk förnyelse av certifikat innan de upphör att gälla
Fördelar med autorotation
Implementering av autorotation för dina kryptografiska tillgångar ger flera fördelar:
- Förbättrad säkerhet: Regelbunden rotation av kryptografiskt material minskar risken för intrång
- Förenklad efterlevnad: Uppfylla regel- och organisationskrav för livscykelhantering av kryptografiska tillgångar
- Driftseffektivitet: Minska manuell ansträngning och risken för mänskliga fel i rotationsprocesser
- Minskad stilleståndstid: Proaktiv rotation före förfallodatum förhindrar avbrott i tjänsten
- Skalbar hantering: Automatisera rotation över flera tillgångar och tjänster
Autorotation för olika tillgångstyper
Nyckelautorotation
Nycklar i Azure Key Vault kan konfigureras med rotationsprinciper som automatiskt genererar nya nyckelversioner vid angivna frekvenser. Detta är användbart för nycklar som används som kundhanterade nycklar (CMK:er) i Azure-tjänster.
Nyckelautorotation stöder:
- Konfigurerbara rotationsintervall (minst sju dagar)
- Meddelanden som snart upphör att gälla via Event Grid
- Rotation på begäran utöver schemalagd rotation
- Integrering med Azure-tjänster med hjälp av CMK:er
Lär dig hur du konfigurerar autorotering av nycklar i Azure Key Vault
Hemlig autorotation
Hemligheter i Azure Key Vault kan konfigureras för autorotation med hjälp av Azure-funktioner som utlöses av Event Grid-händelser. Detta är värdefullt för databasautentiseringsuppgifter, API-nycklar och annan känslig information som kräver regelbundna uppdateringar.
Hemliga stöd för autorotation
- Händelsebaserad utlösare via Event Grid
- Integrering med Azure Functions för anpassad rotationslogik
- Meddelanden som snart upphör att gälla för manuella rotationspåminnelser
- Uppdatera anslutna tjänster med nya hemliga värden
Azure Key Vault stöder två scenarier för hemlig rotation:
- Lär dig hur du implementerar hemlig autorotation för resurser med en uppsättning autentiseringsuppgifter
- Lär dig hur du implementerar hemlig autorotation för resurser med två uppsättningar autentiseringsuppgifter
Autorotation av certifikat
Certifikat som lagras i Azure Key Vault kan förnyas automatiskt innan de upphör att gälla. Key Vault hanterar certifikatförnyelse med integrerade certifikatutfärdare eller genom självsignerad certifikatförnyelse.
Autorotation av certifikat stöder:
- Konfiguration av giltighetsperioder
- Automatisk förnyelse med en angiven procentandel av livslängden eller dagar före förfallodatum
- E-postaviseringar för förfallodatum för certifikat
- Integrering med certifikatutfärdare som DigiCert och GlobalSign
Lär dig hur du konfigurerar automatisk rotering av certifikat i Azure Key Vault
Bästa metoder för autorotation
När du implementerar autorotation i Azure Key Vault bör du överväga följande metodtips:
- Använd versionshantering: Se till att systemen refererar till den senaste versionen av en nyckel, ett certifikat eller en hemlighet automatiskt
- Implementera rätt åtkomstkontroller: Använd Azure RBAC för att styra vem som kan konfigurera rotationsprinciper
- Övervaka rotationshändelser: Konfigurera meddelanden och aviseringar för lyckade och misslyckade rotationer
- Testrotationsförfaranden: Verifiera att beroende system kan hantera roterade tillgångar korrekt
- Konfigurera lämpliga rotationsfrekvenser: Balansera säkerhetskrav med driftöverväganden
- Dokumentåterställningsprocedurer: Dokumentera manuella rotationsprocesser för nödsituationsscenarier
- Följ rekommenderade säkerhetsmetoder: Implementera omfattande säkerhetsåtgärder enligt beskrivningen i Skydda ditt Azure Key Vault
Vanliga autorotationsscenarier
Kundhanterade nycklar för Azure-tjänster
Många Azure-tjänster stöder kryptering med kundhanterade nycklar som lagras i Key Vault. När dessa nycklar konfigureras för autorotation använder tjänsterna automatiskt den senaste nyckelversionen för nya krypteringsoperationer samtidigt som åtkomsten till data som har krypterats med tidigare versioner bibehålls.
Databasautentiseringsuppgifter
Databasautentiseringsuppgifter som lagras som hemligheter i Key Vault kan roteras automatiskt med funktionsappar som inte bara uppdaterar hemligheten i Key Vault utan även tillämpar de nya autentiseringsuppgifterna på databasen.
API-nycklar och tjänstautentiseringsuppgifter
Autorotering av API-nycklar och tjänstautentiseringsuppgifter hjälper till att upprätthålla säkerheten genom att begränsa livslängden för dessa känsliga tillgångar. Genom att implementera rotation med Azure Functions kan du uppdatera både Key Vault och måltjänsterna.