Konfigurace automatické obměny kryptografických klíčů ve službě Azure Key Vault

Přehled

Automatizovaná obměně kryptografických klíčů ve službě Key Vault umožňuje uživatelům nakonfigurovat službu Key Vault tak, aby automaticky vygenerovala novou verzi klíče zadanou frekvencí. Ke konfiguraci obměny můžete použít zásady obměny klíčů, které je možné definovat pro jednotlivé klíče.

V rámci osvědčených postupů z hlediska kryptografie doporučujeme obměňovat šifrovací klíče alespoň každé dva roky.

Další informace o způsobu správy verzí objektů ve službě Key Vault najdete v části Objekty, identifikátory a správa verzí ve službě Key Vault.

Integrace se službami Azure

Tato funkce umožňuje kompletní obměnu nulového dotyku pro šifrování neaktivních uložených uložených dat pro služby Azure s klíčem spravovaným zákazníkem (CMK) uloženým ve službě Azure Key Vault. Pokud chcete zjistit, jestli konkrétní služba Azure zajišťuje kompletní obměnu, projděte si dokumentaci k dané službě.

Další informace o šifrování dat v Azure najdete tady:

• Azure Encryption v klidovém stavu
• Tabulka podpory šifrování dat služeb Azure

Ceny

Za plánovanou obměnu klíčů se účtují další poplatky. Další informace najdete na stránce s cenami služby Azure Key Vault.

Požadována oprávnění

Funkce obměny klíčů key Vault vyžaduje oprávnění ke správě klíčů. Ke správě zásad obměny a obměny na vyžádání můžete přiřadit roli kryptografického důstojníka služby Key Vault.

Další informace o tom, jak používat model oprávnění RBAC služby Key Vault a přiřadit role Azure, najdete v tématu Použití Azure RBAC k řízení přístupu ke klíčům, certifikátům a tajným kódům.

Poznámka:

Pokud používáte model oprávnění zásad přístupu, je potřeba nastavit oprávnění "Otočit", Nastavit zásady obměna a Získat zásady obměna pro správu zásad obměna u klíčů.

Zásady obměně klíčů

Zásady obměně klíčů umožňují uživatelům konfigurovat obměně a oznámení Event Gridu v blízkosti oznámení o vypršení platnosti.

Nastavení zásad obměna klíčů:

• Doba vypršení platnosti: interval vypršení platnosti klíče. Slouží k nastavení data vypršení platnosti u nově otočeného klíče. Nemá vliv na aktuální klíč.
• Povoleno/zakázáno: Příznak pro povolení nebo zakázání obměně klíče
• Typy otočení:
  • Automatické prodlužování v daném okamžiku po vytvoření (výchozí)
  • Automatické prodlužování v daném čase před vypršením platnosti. Vyžaduje nastavenou hodnotu Doba vypršení platnosti pro zásady obměně a Datum vypršení platnosti nastavená na klíč.
• Doba otočení: interval obměně klíče, minimální hodnota je sedm dnů od vytvoření a sedm dnů od vypršení platnosti
• Čas oznámení: Interval události blížící se vypršení platnosti pro oznámení event Gridu. Vyžaduje nastavenou hodnotu Doba vypršení platnosti pro zásady obměně a Datum vypršení platnosti nastavená na klíč.

Důležité

Obměně klíčů generuje novou verzi klíče existujícího klíče s novým materiálem klíče. Cílové služby by měly používat identifikátor URI klíče bez verzí k automatické aktualizaci na nejnovější verzi klíče. Ujistěte se, že vaše řešení šifrování dat ukládá identifikátor URI klíče verze s daty tak, aby odkazoval na stejný materiál klíče pro dešifrování/rozbalení, jako byl použit pro operace šifrování a zabalení, aby nedošlo k přerušení služeb. Všechny služby Azure v současné době sledují tento model šifrování dat.

Konfigurace zásad obměně klíčů

Nakonfigurujte zásady obměně klíčů během vytváření klíče.

Nakonfigurujte zásady obměně u existujících klíčů.

Azure CLI

Uložte zásady obměně klíčů do souboru. Příklad zásad obměně klíčů:

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    },
    {
      "trigger": {
        "timeBeforeExpiry": "P30D"
      },
      "action": {
        "type": "Notify"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Pomocí příkazu Azure CLI az keyvault key rotation-policy update nastavte zásadu obměně u klíče předávajícího dříve uložený soubor.

az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>

Azure PowerShell

Nastavení zásad rotace pomocí rutiny Azure PowerShell Set-AzKeyVaultKeyRotationPolicy

Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}

Obměně na vyžádání

Otočení klíče lze vyvolat ručně.

Portál

Kliknutím na Tlačítko Otočit nyní vyvoláte otočení.

Azure CLI

Klíč můžete otočit pomocí azure CLI az keyvault key rotate command.

az keyvault key rotate --vault-name <vault-name> --name <key-name>

Azure PowerShell

Použijte rutinu Azure PowerShell Invoke-AzKeyVaultKeyRotation .

Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>

Konfigurace oznámení o blížícím se vypršení platnosti klíče

Konfigurace oznámení o vypršení platnosti klíče Event Gridu poblíž události vypršení platnosti V případě, že automatizované obměně nelze použít, například když je klíč importován z místního HSM, můžete nakonfigurovat oznámení o blížícím se vypršení platnosti jako připomenutí pro ruční obměnu nebo jako trigger pro vlastní automatizované obměně prostřednictvím integrace se službou Event Grid. Můžete nakonfigurovat oznámení s dny, měsíci a roky před vypršením platnosti, aby se aktivovala téměř událost vypršení platnosti.

Další informace o oznámeních event Gridu ve službě Key Vault najdete ve službě Azure Key Vault jako zdroj služby Event Grid.

Konfigurace obměně klíčů pomocí šablony ARM

Zásady obměně klíčů je také možné nakonfigurovat pomocí šablon ARM.

Poznámka:

Vyžaduje roli Přispěvatel služby Key Vault ve službě Key Vault nakonfigurovanou pomocí Azure RBAC k nasazení klíče prostřednictvím roviny správy.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vaultName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key vault to be created."
            }
        },
        "keyName": {
            "type": "String",
            "metadata": {
                "description": "The name of the key to be created."
            }
        },
        "rotatationTimeAfterCreate": {
            "defaultValue": "P18M",
            "type": "String",
            "metadata": {
                "description": "Time duration to trigger key rotation. i.e. P30D, P1M, P2Y"
            }
        },
        "expiryTime": {
            "defaultValue": "P2Y",
            "type": "String",
            "metadata": {
                "description": "The expiry time for new key version. i.e. P90D, P2M, P3Y"
            }
        },
        "notifyTime": {
            "defaultValue": "P30D",
            "type": "String",
            "metadata": {
                "description": "Near expiry Event Grid notification. i.e. P30D"
            }
        }

    },
    "resources": [
        {
            "type": "Microsoft.KeyVault/vaults/keys",
            "apiVersion": "2021-06-01-preview",
            "name": "[concat(parameters('vaultName'), '/', parameters('keyName'))]",
            "location": "[resourceGroup().location]",
            "properties": {
                "vaultName": "[parameters('vaultName')]",
                "kty": "RSA",
                "rotationPolicy": {
                    "lifetimeActions": [
                        {
                            "trigger": {
                                "timeAfterCreate": "[parameters('rotatationTimeAfterCreate')]",
                                "timeBeforeExpiry": ""
                            },
                            "action": {
                                "type": "Rotate"
                            }
                        },
                        {
                            "trigger": {
                                "timeBeforeExpiry": "[parameters('notifyTime')]"
                            },
                            "action": {
                                "type": "Notify"
                            }
                        }

                    ],
                    "attributes": {
                        "expiryTime": "[parameters('expiryTime')]"
                    }
                }
            }
        }
    ]
}

Konfigurace zásad správného řízení zásad obměně klíčů

Pomocí služby Azure Policy můžete řídit životní cyklus klíče a zajistit, aby se všechny klíče konfigurovaly tak, aby se obměňovaly během zadaného počtu dnů.

Vytvoření a přiřazení definice zásady

1. Přejděte k prostředku zásad.
2. V části Vytváření na levé straně stránky Azure Policy vyberte Přiřazení.
3. V horní části stránky vyberte Přiřadit zásadu . Toto tlačítko se otevře na stránce Přiřazení zásad.
4. Zadejte následující informace:
   • Definujte rozsah zásad tak, že zvolíte předplatné a skupinu prostředků, u kterých se zásada vynutí. Vyberte kliknutím na tlačítko se třemi tečky v poli Obor .
   • Vyberte název definice zásady: Klíče by měly mít zásadu obměně, která zajistí, že se jejich rotace naplánuje v zadaném počtu dnů po vytvoření.
   • Přejděte na kartu Parametry v horní části stránky.
     • Nastavte maximální počet dnů pro otočení parametru na požadovaný počet dní, například 730.
     • Definujte požadovaný účinek zásady (Audit nebo Zakázáno).
5. Vyplňte všechna další pole. Přejděte na karty, na která v dolní části stránky kliknete na tlačítka Předchozí a Další .
6. Vyberte Zkontrolovat a vytvořit.
7. Vyberte příkaz Vytvořit.

Po přiřazení předdefinované zásady může trvat až 24 hodin, než se kontrola dokončí. Po dokončení kontroly uvidíte výsledky dodržování předpisů, jako je níže.

Zdroje informací

• Monitorování služby Key Vault pomocí služby Azure Event Grid
• Řízení přístupu ke klíčům, certifikátům a tajným klíčům pomocí Azure RBAC
• Šifrování neaktivních uložených dat Azure
• Šifrování služby Azure Storage
• Azure Disk Encryption
• Automatická obměně klíčů pro transparentní šifrování dat