Share via

Önemli iş yüklerini geçirme

  • Makale

Azure Key Vault ve Azure Yönetilen HSM, anahtar malzemesini korumak ve anahtarların HSM özelliklerinin değiştirilmemesini sağlamak için anahtarların dışarı aktarılmalarına izin vermez.

Anahtarın yüksek oranda taşınabilir olmasını istiyorsanız, anahtarı desteklenen bir HSM'de oluşturup Azure Key Vault veya Azure Yönetilen HSM'ye aktarmak en iyisidir.

Not

Tek istisna, anahtar malzemeyi işlemek için güvendiğiniz gizli işlem kuşatmalarına dışarı aktarmaları kısıtlayan bir anahtar yayın ilkesiyle anahtar oluşturulmasıdır. Bu tür güvenli anahtar işlemleri anahtarın genel amaçlı dışarı aktarmaları değildir.

Önemli iş yüklerinin geçirilmesini gerektiren birkaç senaryo vardır:

  • Abonelikler, kaynak grupları veya sahipler arasında geçiş yapma gibi güvenlik sınırları arasında geçiş yapma.
  • Belirli bir bölgedeki uyumluluk sınırları veya riskler nedeniyle bölgeleri taşıma.
  • Azure Key Vault'den Azure Yönetilen HSM'ye geçiş gibi yeni bir teklife geçmek, Key Vault Premium'dan daha fazla güvenlik, yalıtım ve uyumluluk sunar.

Aşağıda, yeni bir anahtar kullanmak için iş yüklerini yeni bir kasaya veya yeni bir yönetilen HSM'ye geçirmeye yönelik çeşitli yöntemler ele alınıyor.

Müşteri tarafından yönetilen anahtarı kullanan Azure Hizmetleri

Key Vault anahtar kullanan iş yüklerinin çoğunda, anahtarı yeni bir konuma (farklı bir abonelikte veya bölgede yeni bir yönetilen HSM veya yeni anahtar kasası) geçirmenin en etkili yolu şunlardır:

  1. Yeni kasada veya yönetilen HSM'de yeni bir anahtar oluşturun.
  2. İş yükünün kimliğini Azure Key Vault veya AzureYönetilen HSM'de uygun role ekleyerek iş yükünün bu yeni anahtara erişimi olduğundan emin olun.
  3. müşteri tarafından yönetilen şifreleme anahtarı olarak yeni anahtarı kullanmak için iş yükünü güncelleştirin.
  4. Eski anahtarı, anahtarlarının başlangıçta koruduğu iş yükü verilerinin yedeklerini artık istemediğiniz sürece koruyun.

Örneğin, Azure Depolama'yı yeni bir anahtar kullanacak şekilde güncelleştirmek için Mevcut depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırma - Azure Depolama başlığındaki yönergeleri izleyin. Depolama yeni anahtara güncelleştirilene kadar önceki müşteri tarafından yönetilen anahtar gereklidir; Depolama başarıyla yeni anahtara güncelleştirildikten sonra, önceki anahtar artık gerekli değildir.

Özel uygulamalar ve istemci tarafı şifreleme

Key Vault'deki anahtarları kullanarak verileri doğrudan şifreleyen istemci tarafı şifreleme veya oluşturduğunuz özel uygulamalar için işlem farklıdır:

  1. Yeni anahtar kasasını veya yönetilen HSM'yi oluşturun ve yeni bir anahtar şifreleme anahtarı (KEK) oluşturun.
  2. Yeni anahtarı kullanarak eski anahtar tarafından şifrelenen tüm anahtarları veya verileri yeniden şifreleyin. (Veriler anahtar kasasındaki anahtar tarafından doğrudan şifrelendiyse, tüm verilerin okunması, şifresinin çözülmesi ve yeni anahtarla şifrelenmesinin gerekli olması gerektiğinden bu işlem biraz zaman alabilir. Bu tür anahtar dönüşlerini daha hızlı hale getirmek için mümkün olduğunda zarf şifrelemesini kullanın).

Verileri yeniden şifrelerken, kek döndürmeyi gelecekte kolaylaştıracak üç düzeyli bir anahtar hiyerarşisi öneririz: 1. Azure Key Vault veya Yönetilen HSM 1'deki Anahtar Şifreleme Anahtarı. Birincil Anahtar 1. Birincil Anahtardan Türetilen Veri Şifreleme Anahtarları

  1. Geçiş sonrasında (ve silinmeden önce) verileri doğrulayın.
  2. Artık ilişkili verilerin yedeklerini istemediğiniz sürece eski anahtar/anahtar kasasını silmeyin.

Azure Information Protection kiracı anahtarlarını geçirme

Azure Information Protection'da kiracı anahtarlarının geçirilmesi "yeniden anahtarlama" veya "anahtarınızı döndürme" olarak adlandırılır. Müşteri tarafından yönetilen - AIP kiracı anahtarı yaşam döngüsü işlemleri , bu işlemin nasıl gerçekleştirileceğini açıklayan ayrıntılı yönergeler içerir.

Eski kiracı anahtarıyla korunan içeriğe veya belgelere artık ihtiyacınız kalmayıncaya kadar eski kiracı anahtarını silmek güvenli değildir. Belgeleri yeni anahtarla korunacak şekilde geçirmek istiyorsanız:

  1. Eski kiracı anahtarıyla korunan belgeden korumayı kaldırın.
  2. Yeni kiracı anahtarını kullanacak şekilde korumayı yeniden uygulayın.

Sonraki adımlar