Freigeben über

Drehen Sie vom Kunden verwaltete Schlüssel für vertrauliche VMs

  • Artikel

Vertrauliche virtuelle Maschinen (vertrauliche VMs) in Azure unterstützen vom Kunden verwaltete Schlüssel. Vom Kunden verwaltete Schlüssel tragen dazu bei, dass vertrauliche VMs und zugehörige Artefakte ordnungsgemäß funktionieren. Sie können diese Schlüssel in Azure Key Vault oder über ein verwaltetes Hardware-Sicherheitsmodul (verwaltetes HSM) verwalten. Dieser Artikel konzentriert sich auf die Verwaltung der Schlüssel durch ein verwaltetes HSM, sofern nicht anders angegeben.

Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden möchten, müssen Sie bei der Erstellung Ihrer vertraulichen VM eine Ressource "Disk Encryption Set" bereitstellen. Das Disk Encryption Set muss auf den vom Kunden verwalteten Schlüssel verweisen. In der Regel können Sie ein einziges Disk Encryption Set mit mehreren vertraulichen VMs verknüpfen. Es wird empfohlen, einen vom Kunden verwalteten Schlüssel regelmäßig zu erneuern, um die Sicherheit zu gewährleisten. Die Frequenz der Drehung ist eine organisationspolitische Entscheidung. Die Drehung ist auch erforderlich, wenn ein kundenseitig verwalteter Schlüssel kompromittiert wird.

Kundenseitig verwalteter Schlüssel ändern

Sie können den Schlüssel, den Sie für vertrauliche VMs verwenden, jederzeit ändern. Um einen vom Kunden verwalteten Schlüssel zu drehen:

  1. Melden Sie sich beim Azure-Portal an.
  2. Rufen Sie den Dienst Virtual Machines auf.
  3. Halten Sie alle vertraulichen VMs mit demselben Disk Encryption Set an. Wenn sich eine oder mehrere VMs nicht im angehaltenen Zustand befinden, kann keine der VMs den neuen Schlüssel erhalten.
  4. Rufen Sie den DienstDisk Encryption Sets auf.
  5. Wählen Sie die Ressource Disk Encryption Set, die mit Ihrer vertraulichen VM verbunden ist.
  6. Wählen Sie im Menü der Ressource unter Einstellungen die Option Schlüssel.
  7. Wählen Sie die Schlüssel ändern.
  8. Wählen Sie den entsprechenden Schlüsseltresor, Schlüssel und die Version.
  9. Speichern Sie die Änderungen. Der Speichervorgang aktualisiert den Schlüssel für alle vertraulichen VM-Artefakte.

Wiederholung der Schlüsseldrehung

In seltenen Fällen kann es vorkommen, dass der vom Kunden verwaltete Schlüssel nicht für alle vertraulichen VMs rotiert wird, selbst wenn alle VMs angehalten wurden. Wenn der vom Kunden verwaltete Schlüssel nicht gedreht wird, enthält die Ressource "Disk Encryption Set" weiterhin einen Verweis auf den alten Schlüssel. In diesem Zustand können einige vertrauliche VMs den neuen Schlüssel und andere den alten Schlüssel haben.

Um dieses Problem zu beheben, wiederholen Sie die Schritte zur Aktualisierung des Disk Encryption Set.

Einschränkungen

  • Die automatische Schlüsseldrehung wird derzeit für vertrauliche VMs nicht unterstützt.
  • Die Schlüsseldrehung wird bei ephemeren Datenträgern nicht unterstützt. Es wird empfohlen, ein separates Disk Encryption Set für vertrauliche VMs mit einer ephemeren Festplatte zu verwenden. Wenn vertrauliche VMs mit ephemeren und nicht ephemeren Festplatten dasselbe Disk Encryption Set verwenden, müssen Sie die vertraulichen VMs mit ephemeren Festplatten löschen, bevor Sie die Schlüssel für die vertraulichen VMs mit nicht ephemeren Festplatten drehen.