Önemli iş yüklerini taşımak

Azure Key Vault ve Azure Yönetilen HSM, anahtar malzemesini korumak ve anahtarların HSM özelliklerinin değiştirilemediğinden emin olmak için anahtarların dışarı aktarımına izin vermez.

Anahtarın yüksek düzeyde taşınabilir olmasını istiyorsanız, desteklenen bir HSM'de oluşturmak ve Azure Key Vault veya Azure Yönetilen HSM'e içeri aktarmak en iyisidir.

Note

Dışarı aktarma kuralının tek istisnası, belirli bir anahtar yayın ilkesine sahip bir anahtar oluşturduğunuzda ortaya çıkar. Bu ilke anahtarın yalnızca açıkça tanımladığınız güvenilir gizli bilgi işlem ortamlarına (güvenli kuşatmalar) dışarı aktarılmasını sağlar. Bu sınırlı dışarı aktarma özelliği, belirli güvenli bilgi işlem senaryoları için tasarlanmıştır ve genel amaçlı anahtar dışarı aktarma ile aynı değildir.

Önemli iş yüklerinin geçirilmesini gerektiren çeşitli senaryolar vardır:

• Abonelikler, kaynak grupları veya sahipler arasında geçiş yapma gibi güvenlik sınırlarını değiştirme.
• Belirli bir bölgedeki uyumluluk sınırları veya riskler nedeniyle bölgeleri taşıma.
• Azure Key Vault'den Azure Yönetilen HSM gibi Key Vault Premium'a göre daha fazla güvenlik, yalıtım ve uyumluluk sunan yeni bir teklife değişiyorsunuz.

Yeni bir anahtar kullanmak için iş yüklerini ya yeni bir kasaya ya da yeni bir yönetilen HSM'ye geçirmek üzere aşağıda çeşitli yöntemleri ele alıyoruz.

Müşteri tarafından yönetilen anahtar kullanarak Azure Hizmetleri

Key Vault anahtar kullanan iş yüklerinin çoğunda, anahtarı yeni bir konuma (farklı bir abonelikte veya bölgede yeni bir yönetilen HSM veya yeni key vault) geçirmenin en etkili yolu şunlardır:

1. Yeni kasada veya yönetilen HSM'de yeni bir anahtar oluşturun.
2. İş yükünün yönetilen kimliğini Azure Key Vault'da uygun Azure RBAC rolüne veya Azure Yönetilen HSM'da uygun Yönetilen HSM yerel RBAC rolüne atayarak iş yükünüz için yeni anahtara erişim verin.
3. Müşteri tarafından yönetilen şifreleme anahtarı olarak yeni anahtarı kullanmak için iş yükünü güncelleştirin.
4. Başlangıçta korunmuş iş yükü verilerinin yedeklerini artık istemiyorsanız, eski anahtarı elinizde tutun.

Örnek: Azure Storage yeni bir müşteri tarafından yönetilen anahtara geçirme

müşteri tarafından yönetilen anahtarları Azure Storage kullanıyorsanız, aşağıdaki adımları izleyerek yeni bir anahtara geçiş yapabilirsiniz:

1. Hedef anahtar kasanızda veya yönetilen HSM'de yeni bir anahtar oluşturun.
2. Depolama hesabınızı yeni anahtarı kullanacak şekilde güncelleştirmek için Mevcut bir depolama hesabının müşteri tarafından yönetilen anahtarlarını yapılandırma başlığındaki yönergeleri izleyin.
3. Depolama hizmeti yeni anahtara tamamen geçiş yapılana kadar müşteri tarafından yönetilen önceki anahtarınızı kullanılabilir durumda tutun.
4. Tüm işlemlerin yeni anahtarla düzgün çalıştığını onayladıktan sonra, önceki anahtarı güvenli bir şekilde devre dışı bırakabilirsiniz (ancak eski yedeklemelere erişmeniz gerekiyorsa silmeyin).

Bu düzen, müşteri tarafından yönetilen anahtarları destekleyen birçok Azure hizmeti için geçerlidir.

Özel uygulamalar ve istemci tarafı şifrelemesi

İstemci tarafı şifreleme veya Key Vault anahtarları kullanarak verileri doğrudan şifreleyen özel uygulamalar için işlem farklıdır:

1. Yeni anahtar kasasını veya yönetilen HSM'yi oluşturun ve yeni bir anahtar şifreleme anahtarı (KEK) oluşturun.
2. Yeni anahtarı kullanarak eski anahtarla şifrelenen tüm anahtarları veya verileri yeniden şifreleyin. (Veriler anahtar kasasındaki anahtar tarafından doğrudan şifrelenirse, tüm verilerin okunması, şifresinin çözülmesi ve yeni anahtarla şifrelenmeleri gerektiğinden bu işlem biraz zaman alabilir. Bu tür anahtar dönüşlerini daha hızlı hale getirmek için mümkün olduğunda zarf şifrelemesini kullanın). Verileri yeniden şifrelerken, KEK değişimini gelecekte kolaylaştıracak üç düzeyli bir anahtar hiyerarşisi öneriyoruz:
   1. Azure Key Vault veya Yönetilen HSM'de Anahtar Şifreleme Anahtarı
   2. Birincil Anahtar
   3. Birincil Anahtardan türetilen Veri Şifreleme Anahtarları
3. Geçiş sonrasında (ve silinmeden önce) verileri doğrulayın.
4. Artık ilişkili verilerin yedeklerini istemediğiniz sürece eski anahtar/anahtar kasasını silmeyin.

Aynı anahtar malzemeyi farklı coğrafyalardaki birden çok Anahtar Kasası veya Yönetilen HSM'de kullanma

Uygulamanız veya iş yükünüz, aynı güvenlik etki alanını paylaşmayan birden fazla Key Vault veya Yönetilen HSM'de aynı anahtar malzemesini gerektiriyorsa, Kendi Anahtarını Getir (BYOK) yaklaşımını kullanmalısınız. Anahtar malzeme, farklı güvenlik etki alanlarına sahip kaynaklar arasında doğrudan çoğaltılamaz veya aktarılamaz.

Farklı güvenlik etki alanlarına sahip kaynaklara örnek olarak şunlar verilebilir:

• farklı coğrafyalardaki Key Vaults — her Azure coğrafyasının kendi güvenlik etki alanı vardır, bu nedenle bir coğrafyadaki Key Vault, anahtar malzemeleri başka bir coğrafyadaki Key Vault ile paylaşamaz.
• Bir Key Vault ve Yönetilen HSM — Key Vault ve Yönetilen HSM, aynı coğrafyada bile her zaman ayrı güvenlik etki alanlarına sahiptir.

Bu sınırlar boyunca aynı anahtar malzemeyi kullanmak için:

1. Şirket içi HSM'de veya başka bir güvenli şifreleme modülünde anahtar oluşturun. Anahtarı, denetlediğiniz bir donanım güvenlik modülünde (HSM) oluşturarak anahtar malzemesini güvenli bir ortamda tutmanızı sağlayın.

2. Anahtarınızı ihtiyaç duyduğunuz her Key Vault veya Yönetilen HSM'ye aktarmak için "Kendi Anahtarını Getir" yöntemini kullanın. İş yükünüzün anahtar gerektirdiği her bölgedeki her dijital kasa veya yönetilen Donanım Güvenlik Modülü (HSM) için veri aktarma işlemini yineleyin.

   • Azure Key Vault için Azure Key Vault BYOK belirtimini izleyin.
   • Azure Yönetilen HSM için HSM korumalı anahtarları Yönetilen HSM'ye (BYOK) aktarma kılavuzunu izleyin.

   Önemli

   Temel alınan anahtar malzemesi aynı olsa bile her kasanın veya yönetilen HSM'nin farklı bir anahtar URI'sine sahip olması gerekir. Her kaynağa karşılık gelen URI'yi izlemeniz gerekir.

3. Uygulamalarınızı ve hizmetlerinizi her bölgede yeni anahtar URI'sini kullanacak şekilde güncelleştirin. Uygulamanızın her bölgesel dağıtımlarını, özel bir uygulama, Azure SQL Database, Azure Cosmos DB veya başka bir hizmet gibi, o bölgedeki kasadan veya yönetilen HSM'den yeni anahtar URI'sine başvuracak şekilde yapılandırın. Her Key Vault veya Yönetilen HSM'nin kendi benzersiz URI'leri olduğundan, anahtar malzemesi aynı olsa bile anahtar URI'leri her kaynakta farklı olacaktır. Uygulama yapılandırmalarınızın doğru anahtar URI'sine başvurdığından emin olun.

Azure Information Protection kiracı anahtarlarının aktarımı

Azure Information Protection'da kiracı anahtarlarının geçirilmesine "yeniden anahtarlama" veya "anahtarınızı yenileme" denir. Müşteri tarafından yönetilen - AIP kiracı anahtarı yaşam döngüsü işlemleri , bu işlemin nasıl gerçekleştirildiğini gösteren ayrıntılı yönergeler içerir.

Eski kiracı anahtarıyla korunan içeriğe veya belgelere artık ihtiyacınız kalmayıncaya kadar eski kiracı anahtarını silmek güvenli değildir. Belgeleri yeni anahtarla korunacak şekilde geçirmek istiyorsanız:

1. Eski kiracı anahtarıyla korunan belgeden korumayı kaldırın.
2. Yeni kiracı anahtarını kullanacak şekilde korumayı yeniden uygulayın.

HSM Platformu 2'ye Geçiş

Azure Key Vault, FIPS 140 Düzey 3 doğrulamasıyla gelişmiş güvenlik sağlamak için HSM platformunu güncelleştirdi. Tüm yeni anahtarlar ve anahtar sürümleri artık HSM Platform 2 kullanılarak oluşturulur. hsmPlatform özniteliğine bakarak anahtarınızı koruyan HSM platformunu de kontrol edebilirsiniz.

İş yüklerinizi HSM Platform 2 tarafından korunan anahtarlara geçiş yapmak için:

1. HSM Platform 2'de yeni anahtarlar oluşturma

   • Yapılandırılmış bir anahtar döndürme ilkeniz varsa, bir sonraki zamanlanmış döndürmede otomatik olarak yeni bir anahtar sürümü oluşturulur.
   • Hiçbir döndürme ilkesi yapılandırılmamışsa, HSM Platform 2'yi otomatik olarak kullanacak yeni bir anahtar sürümünü el ile oluşturun.

2. Farklı hizmetler için dönen anahtarlar

   • Müşteri Tarafından Yönetilen Anahtarlar (CMK):
     • Anahtarlarınızın otomatik döndürülmesi hizmetiniz için etkinleştirildiyse, yeni anahtar oluşturulduğunda otomatik olarak uygulanır.
     • Otomatik döndürme yapılandırılmamışsa, hizmetin anahtar yapılandırma ayarlarını kullanarak hizmetinizi yeni anahtarı el ile kullanacak şekilde güncelleştirin.
   • Azure Information Protection (AIP):
     • Ayrıntılı geçiş adımları için AIP kiracı anahtarı geçiş bölümüne bakın.
   • Özel Uygulamalar:
     • Sorunsuz bir geçiş sağlamak için Özel uygulamalar kılavuzunu izleyin.

HSM Platform 2'ye geçişin avantajları, FIPS 140 Düzey 3 doğrulamasıyla gelişmiş güvenlik uyumluluğunu içerir. Tüm yeni anahtarlar en son platformda otomatik olarak oluşturulduğundan, bu geçiş temel olarak mevcut iş yüklerini daha yeni anahtar sürümlerini kullanacak şekilde güncelleştirmek için geçerlidir.

Microsoft 365 için Müşteri Anahtarlarını Yönetme

HSM Platform 1'den geçiş yapılan kuruluşlar için müşteri anahtarlarının etkili bir şekilde yönetilmesi kritik önem taşır. Microsoft 365, müşteri tarafından yönetilen kök anahtarları ve kullanılabilirlik anahtarlarını dönüştürmek veya değiştirmek için güçlü araçlar ve yönergeler sağlar. Bu işlemi yönetmenize yardımcı olacak önemli kaynaklar aşağıdadır:

• Müşteri Anahtarını veya kullanılabilirlik anahtarını döndürme veya dönüştürme: Yeni sürümler oluşturma veya yeni anahtarlar oluşturma dahil, müşteri tarafından yönetilen kök anahtarlarını veya kullanılabilirlik anahtarlarını nasıl döndüreceğinizi öğrenin.
• Kullanılabilirlik anahtarını anlayabilir: Kullanılabilirlik anahtarı ve Microsoft 365 şifrelemedeki rolü hakkında ayrıntılı bilgi.
• Microsoft 365: Veri şifreleme ilkeleri (DEP' ler) oluşturma ve atama da dahil olmak üzere müşteri anahtarlarını yönetmeye yönelik kapsamlı yönergeler.

HSM Platform 1'in Kullanımdan Kaldırılması için Önemli Noktalar

HSM Platform 1 kullanımdan kaldırıldığından aşağıdakilerden emin olun:

1. Uyumluluk ve güvenliği sürdürmek için müşteri tarafından yönetilen kök anahtarlarınızı gerektiğinde döndürün veya yeniden kullanın.
2. Yeni anahtarlara veya anahtar sürümlerine başvurmak için veri şifreleme ilkelerini (DEP' ler) güncelleştirin.
3. İzinleri en aza indirme ve anahtar kullanımını izleme de dahil olmak üzere anahtar yönetimi için en iyi yöntemleri izleyin.

Daha fazla ayrıntı için Microsoft Purview Müşteri Anahtarı belgelerine bakın.

Sonraki Adımlar

• Azure Key Vault
• Azure Key Vault'ta otomatik döndürmeyi anlamak
• Azure Key Vault Managed HSM hakkında?
• Azure'da Anahtar Yönetimi