你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
证书、密钥和机密等加密资产的生存期有限。 作为安全最佳做法,应定期轮换这些资产,以减少泄露风险,并确保符合安全策略。 Azure Key Vault 提供用于轮换这些资产的自动化功能,帮助组织保持强大的安全态势,同时降低运营开销。
什么是自动轮换?
自动轮换是按照预定义的间隔或响应特定事件自动将加密资产替换为新资产的过程。 在 Azure Key Vault 中,自动调整功能因资产类型而异:
- 密钥:基于配置的轮换策略自动生成新密钥版本
- 机密:事件触发的机密更新与使用机密的系统集成
- 证书:证书过期前自动续订证书
自动旋转的优点
为加密资产实现自动轮换可提供以下几个优势:
- 增强安全性:定期轮换加密材料可降低泄露风险
- 简化合规性:满足加密资产生命周期管理的法规和组织要求
- 作效率:减少手动工作量和轮换过程中人为错误的风险
- 缩短停机时间:过期前主动轮换可防止服务中断
- 可缩放管理:跨多个资产和服务自动轮换
不同资产类型的自动轮换
密钥自动轮换
可以使用轮换策略配置 Azure Key Vault 中的密钥,这些策略可以自动生成指定频率的新密钥版本。 这对于用作 Azure 服务中的客户管理的密钥(CMK)非常有用。
密钥自动轮换支持:
- 可配置的轮换间隔(至少七天)
- 通过事件网格发送即将过期的通知
- 计划轮换外的按需轮换
- 使用 CMK 与 Azure 服务集成
了解如何在 Azure Key Vault 中配置密钥自动调整
机密自动轮换
可以使用事件网格事件触发的 Azure Functions 为 Azure 密钥保管库中的机密配置自动轮换。 对于需要定期更新的数据库凭据、API 密钥和其他敏感信息而言,这非常有用。
机密自动轮换支持:
- 通过事件网格触发基于事件的操作
- 与 Azure Functions 集成以实现自定义轮换逻辑
- 即将到期通知,以提醒手动轮换
- 使用新的机密值更新依赖服务
Azure Key Vault 支持两种机密轮换方案:
证书自动轮换
Azure Key Vault 中存储的证书可以在过期之前自动续订。 Key Vault 使用集成证书颁发机构(CA)或通过自签名证书重新生成来处理证书续订。
证书自动轮换支持:
- 配置有效期
- 在到期前按指定的使用寿命百分比或天数自动续订
- 证书过期的电子邮件通知
- 与 DigiCert 和 GlobalSign 等证书颁发机构集成
了解如何在 Azure Key Vault 中配置证书自动调用
自动轮换的最佳做法
在 Azure Key Vault 中实现自动启动时,请考虑以下最佳做法:
- 使用版本控制:确保系统自动引用最新版本的密钥、证书或机密
- 实现适当的访问控制:使用 Azure RBAC 控制谁可以配置轮换策略
- 监视轮换事件:为成功和失败的轮换设置通知和警报
- 测试轮换过程:验证依赖系统是否可以正确处理旋转的资产
- 配置适当的轮换频率:在安全要求和运营考虑之间保持平衡
- 文档备用流程:为紧急方案记录人工轮换流程
- 遵循安全最佳实践:根据保护您的 Azure Key Vault中所述实施全面的安全措施
常见的自动轮换场景
Azure 服务的客户管理的密钥
许多 Azure 服务支持使用存储在 Key Vault 中的客户管理的密钥进行加密。 将这些密钥配置为自动轮换时,服务会自动使用最新密钥版本进行新的加密作,同时保持对使用以前版本加密的数据的访问。
数据库凭据
可以使用函数应用自动轮换存储在 Key Vault 中作为机密的数据库凭据,这些应用不仅更新 Key Vault 中的机密,而且还可将新凭据应用于数据库。
API 密钥和服务凭据
自动轮调 API 密钥和服务凭据有助于通过限制这些敏感资产的生存期来维护安全性。 通过使用 Azure Functions 实现轮换,可以更新 Key Vault 和目标服务。