Administración de claves administradas por el cliente de Azure Elastic SAN
Todos los datos escritos en un volumen de Elastic SAN se cifran automáticamente en reposo con una clave de cifrado de datos (DEK). Las DEK de Azure siempre están administradas por la plataforma (administrados por Microsoft). Azure usa cifrado de sobre, también conocido como ajuste, lo que implica el uso de una clave de cifrado de claves (KEK) para cifrar la DEK. De forma predeterminada, la KEK es administrada por la plataforma, pero puede crear y administrar su propia KEK. Las claves administradas por el cliente ofrecen mayor flexibilidad para administrar los controles de acceso y pueden ayudarle a cumplir los requisitos de seguridad y cumplimiento de su organización.
Puede controlar todos los aspectos de las claves de cifrado de claves, entre los que se incluyen:
- Qué clave se usa
- Dónde se almacenan las claves
- Cómo se giran las claves
- La capacidad de cambiar entre claves administradas por el cliente y administradas por la plataforma
En este artículo explica cómo administrar las KEK administradas por el cliente.
Nota:
El cifrado de sobre permite cambiar la configuración de la clave sin afectar a los volúmenes de Elastic SAN. Al realizar un cambio, el servicio Elastic SAN vuelve a cifrar las claves de cifrado de datos con las nuevas claves. La protección de la clave de cifrado de datos cambia, pero los datos de los volúmenes de Elastic SAN permanecen cifrados en todo momento. No se requiere ninguna acción adicional de su parte para garantizar que sus datos estén protegidos. Cambiar la configuración de la clave no afecta al rendimiento y no hay ningún tiempo de inactividad asociado a este cambio.
Limitaciones
La lista siguiente contiene las regiones en las que Elastic SAN está disponible actualmente y en qué regiones se admite tanto el almacenamiento con redundancia de zona (ZRS) como el almacenamiento con redundancia local (LRS) o solo LRS:
- Este de Australia: LRS
- Sur de Brasil: LRS
- Centro de Canadá: LRS
- Centro de EE. UU. - LRS
- Este de Asia: LRS
- Este de EE. UU.: LRS
- Este de EE. UU. 2: LRS
- Centro de Francia: LRS y ZRS
- Centro-oeste de Alemania: LRS
- Centro de la India: LRS
- Este de Japón: LRS
- Centro de Corea del Sur: LRS
- Norte de Europa: LRS y ZRS
- Este de Noruega: LRS
- Norte de Sudáfrica: LRS
- Centro-sur de EE. UU.: LRS
- Sudeste de Asia: LRS
- Centro de Suecia: LRS
- Norte de Suiza: LRS
- Norte de Emiratos Árabes: LRS
- Sur de Reino Unido: LRS
- Oeste de Europa: LRS y ZRS
- Oeste de EE. UU. 2: LRS y ZRS
- Oeste de EE. UU. 3: LRS
Elastic SAN también está disponible en las siguientes regiones, pero sin compatibilidad con la zona de disponibilidad:
- Este de Canadá: LRS
- Oeste de Japón: LRS
- Centro-norte de EE. UU.: LRS
Para habilitar estas regiones, ejecute el siguiente comando para registrar la marca de característica necesaria:
Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"
Cambio de la clave
Puede cambiar la clave que usa para el cifrado de Azure Elastic SAN en cualquier momento.
Para cambiar la clave con PowerShell, llame a Update-AzElasticSanVolumeGroup y proporcione el nombre y la versión de la nueva clave. Si la nueva clave se encuentra en otro almacén de claves, tiene que actualizar también el URI del almacén de claves.
Si la nueva clave está en otro almacén de claves, debe conceder a la identidad administrada acceso a la clave en el nuevo almacén. Si elige la actualización manual de la versión de la clave, también deberá actualizar el URI del almacén de claves.
Actualización de la versión de la clave
Seguir los procedimientos recomendados criptográficos significa rotar la clave que protege el grupo de volúmenes de Elastic SAN según una programación normal, normalmente al menos cada dos años. Azure Elastic SAN nunca modifica la clave en el almacén de claves, pero puede configurar una directiva de rotación de claves para rotar la clave según sus requisitos de cumplimiento. Para más información, consulte Configurar la rotación automática de claves en Azure Key Vault.
Una vez girada la clave en el almacén de claves, la configuración de la KEK administrada por el cliente para el grupo de volúmenes de Elastic SAN debe actualizarse para usar la nueva versión de clave. Las claves administradas por el cliente admiten la actualización automática y manual de la versión de la KEK. Puede decidir qué enfoque desea usar al configurar inicialmente claves administradas por el cliente o al actualizar la configuración.
Al modificar la clave o la versión de clave, la protección de la clave de cifrado raíz cambiará, pero los datos del grupo de volúmenes de Azure Elastic SAN seguirán cifrados en todo momento. No se requiere ninguna acción adicional por su parte para asegurarse de que los datos están protegidos. La rotación de la versión de la clave no afecta al rendimiento y no hay ningún tiempo de inactividad asociado con la rotación de la versión de la clave.
Importante
Para rotar una clave, cree una nueva versión de la clave en el almacén de claves, según los requisitos de cumplimiento. Azure Elastic SAN no controla la rotación de claves, por lo que deberá administrar la rotación de la clave en el almacén de claves.
Cuando rotas la clave que se usa para las claves administradas por el cliente, esa acción no se registra actualmente en los registros de Azure Monitor para Azure Elastic SAN.
Actualización automática de la versión de clave
Para actualizar automáticamente una clave administrada por el cliente a una nueva versión disponible, omita la versión de la clave al habilitar el cifrado con las claves administradas por el cliente para el grupo de volúmenes de Elastic SAN. Si se omite la versión de la clave, Azure Elastic SAN comprueba diariamente el almacén de claves para obtener una nueva versión de una clave administrada por el cliente. Si hay disponible una nueva versión de la clave, Azure Elastic SAN usa automáticamente la versión más reciente.
Azure Elastic SAN comprueba solo una vez al día el almacén de claves para obtener una nueva versión de la clave. Al girar una clave, asegúrese de esperar 24 horas antes de deshabilitar la versión anterior.
Si el grupo de volúmenes de Elastic SAN se configuró anteriormente para la actualización manual de la versión de la clave y desea cambiarla para que se actualice automáticamente, es posible que tenga que cambiar explícitamente la versión de la clave a una cadena vacía. Para obtener más información sobre cómo hacerlo, consulte Rotación manual de la versión de clave.
Actualización manual de la versión de la clave
Para usar una versión determinada de una clave para el cifrado de Azure Elastic SAN, especifique la versión de la clave al habilitar el cifrado con las claves administradas por el cliente para el grupo de volúmenes de Elastic SAN. Si especifica la versión de la clave, Azure Elastic SAN usará esa versión para el cifrado hasta que actualice manualmente la versión de la clave.
Cuando se especifica la versión de la clave de manera explícita, debe actualizar manualmente el grupo de volúmenes de Elastic SAN para usar el nuevo URI de la versión de la clave cuando se crea una nueva versión. Para obtener información sobre cómo actualizar el grupo de volúmenes de Elastic SAN para usar una nueva versión de la clave, consulte Configurar el cifrado con claves administradas por el cliente almacenadas en Azure Key Vault.
Revocar el acceso a un grupo de volúmenes que usa claves administradas por el cliente
Para revocar temporalmente el acceso a un grupo de volúmenes de Elastic SAN que usa claves administradas por el cliente, deshabilite la clave que se usa actualmente en el almacén de claves. No hay ningún impacto en el rendimiento ni en el tiempo de inactividad asociados con deshabilitar y volver a habilitar la clave.
Una vez deshabilitada la clave, los clientes no pueden llamar a las operaciones que leen o escriben en volúmenes del grupo de volúmenes o sus metadatos.
Precaución
Al deshabilitar la clave en el almacén de claves, los datos del grupo de volúmenes de Azure Elastic SAN permanecerán cifrados, pero se volverán inaccesibles hasta que se vuelva a habilitar la clave.
Para revocar una clave administrada por el cliente con PowerShell, llame al comando Update-AzKeyVaultKey, como se muestra en el siguiente ejemplo. Recuerde reemplazar los valores de marcador de posición entre corchetes por sus propios valores para definir las variables o use las variables definidas en los ejemplos anteriores.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Volver a las claves administradas por la plataforma
Puede cambiar de claves administradas por el cliente a claves administradas por la plataforma en cualquier momento mediante el módulo de Azure PowerShell o la CLI de Azure.
Para cambiar de claves administradas por el cliente de vuelta a claves administradas por la plataforma con PowerShell, llame a Update-AzElasticSanVolumeGroup con la opción -Encryption
, tal y como se muestra en el ejemplo siguiente. Recuerde reemplazar los valores de marcador de posición por sus propios valores y usar las variables definidas en los ejemplos anteriores.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey