Partager via

Gérer les clés gérées par le client pour Azure Elastic SAN

  • Article

Toutes les données écrites dans un volume Elastic SAN sont automatiquement chiffrées au repos avec une clé de chiffrement de données (DEK). Les clés DEK Azure sont toujours gérées par la plateforme (gérées par Microsoft). Azure utilise le chiffrement d’enveloppe, également appelé enveloppement, qui implique l’utilisation d’une clé de chiffrement clé de (KEK) pour chiffrer la clé DEK. Par défaut, la clé KEK est gérée par la plateforme, mais vous pouvez créer et gérer votre propre clé KEK. Les clés gérées par le client offrent une flexibilité accrue pour gérer les contrôles d’accès et peut vous permettre de répondre à vos exigences organisationnelles en matière de sécurité et de conformité.

Vous contrôlez tous les aspects de vos clés de chiffrement de clé, notamment :

  • Quelle clé utiliser
  • Où vos clés sont stockées
  • Comment la rotation des clés est effectuée
  • La possibilité de basculer entre les clés gérées par le client et les clés gérées par la plateforme

Cet article explique comment gérer vos KEK gérés par le client.

Remarque

Le chiffrement d’enveloppe vous permet de modifier la configuration de votre clé sans avoir d’impact sur vos volumes Elastic SAN. Lorsque vous effectuez une modification, le service Elastic SAN chiffre à nouveau les clés de chiffrement des données avec de nouvelles clés. La protection de la clé de chiffrement des données change, mais les données de vos volumes Elastic SAN restent chiffrées à tout moment. Aucune action supplémentaire n’est requise de votre part pour garantir que vos données sont protégées. Modifier la configuration de clé n’a pas d’impact sur les performances et aucun temps d’arrêt n’est associé à une telle modification.

Limites

La liste suivante contient les régions dans lesquelles Elastic SAN est actuellement disponible, et les régions qui prennent en charge à la fois le stockage redondant interzone (ZRS) et le stockage localement redondant (LRS), ou uniquement LRS :

  • Australie Est - LRS
  • Brésil Sud – LRS
  • Canada Centre – LRS
  • USA Centre – LRS
  • Asie Est – LRS
  • USA Est - LRS
  • USA Est 2 - LRS
  • France Centre – LRS et ZRS
  • Allemagne Centre-Ouest – LRS
  • Inde Centre, LRS
  • Japon Est – LRS
  • Corée Centre – LRS
  • Europe Nord – LRS et ZRS
  • Norvège Est, LRS
  • Afrique du Sud Nord – LRS
  • USA Centre Sud - LRS
  • Asie Sud-Est - LRS
  • Suède Centre - LRS
  • Suisse Nord – LRS
  • Émirats arabes unis Nord, LRS
  • Royaume-Uni Sud - LRS
  • Europe Ouest – LRS et ZRS
  • USA Ouest 2 - LRS &ZRS
  • USA Ouest 3 - LRS

Elastic SAN est également disponible dans les régions suivantes, mais sans prise en charge de la zone de disponibilité :

  • Canada Est - LRS
  • Japon Ouest - LRS
  • USA Centre Nord - LRS

Pour activer ces régions, exécutez la commande suivante pour inscrire l’indicateur de fonctionnalité nécessaire :

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Modifier la clé

Vous pouvez modifier la clé que vous utilisez pour le chiffrement du service Azure Elastic SAN à tout moment.

Pour changer la clé avec PowerShell, appelez Update-AzElasticSanVolumeGroup, puis entrez le nom et la version de la nouvelle clé. Si la nouvelle clé se trouve dans un coffre de clés différent, vous devez également mettre à jour l’URI du coffre de clés.

Si la nouvelle clé se trouve dans un autre coffre de clés, vous devez accorder à l’identité managée l’accès à la clé dans le nouveau coffre. Si vous optez pour la mise à jour manuelle de la version de la clé, vous devez également mettre à jour l’URI du coffre de clés.

Mettre à jour la version de la clé

Les bonnes pratiques de chiffrement suivantes impliquent la rotation de la clé qui protège votre groupe de volumes SAN élastique selon une planification régulière, généralement tous les deux ans. Azure Elastic SAN ne modifie jamais la clé dans le coffre de clés, mais vous pouvez configurer une stratégie de rotation de clé en fonction de vos exigences de conformité. Pour plus d’informations, voir Configurer la rotation automatique des clés de chiffrement dans Azure Key Vault.

Après avoir effectué la rotation de la clé dans le coffre de clés, la configuration des clés KEK gérées par le client pour votre groupe de volumes Elastic SAN doit être mise à jour pour utiliser la nouvelle version de clé. Les clés gérées par le client prennent en charge la mise à jour automatique et manuelle de la version de la clé KEK. Vous pouvez décider de l’approche à utiliser lors de la configuration initiale des clés gérées par le client ou lorsque vous mettez à jour votre configuration.

Quand vous modifiez la clé ou la version de clé, la protection de la clé de chiffrement racine change, mais les données de votre groupe de volumes Azure Elastic SAN restent chiffrées tout le temps. Aucune action supplémentaire n’est requise de votre part pour vous assurer que vos données sont protégées. La rotation de la version de clé n’a pas d’impact sur les performances et aucun temps d’arrêt n’est associé à cette rotation.

Important

Pour faire pivoter une clé, créez une nouvelle version de la clé dans le coffre de clés en fonction de vos exigences de conformité. Azure Elastic SAN ne gère pas la rotation des clés. Vous devez donc la gérer vous-même dans le coffre de clés.

Lorsque vous effectuez une rotation de la clé utilisée pour les clés gérées par le client, cette action n’est actuellement pas enregistrée dans les journaux d’activité Azure Monitor pour Azure Elastic SAN.

Mettre à jour automatiquement la version de la clé

Pour mettre à jour automatiquement une clé gérée par le client quand une nouvelle version est disponible, omettez la version de la clé lorsque vous activez le chiffrement avec des clés gérées par le client pour le groupe de volumes Elastic SAN. Si la version de la clé est omise, Azure Elastic SAN vérifie le coffre de clés quotidiennement pour voir s’il existe une nouvelle version d’une clé gérée par le client. Si une nouvelle version de la clé est disponible, Azure Elastic SAN utilise automatiquement la dernière version de la clé.

Azure Elastic SAN vérifie le coffre de clés une fois par jour pour voir si une nouvelle version de clé est disponible. Lorsque vous changez de clé, veillez à patienter 24 heures avant de désactiver l’ancienne version.

Si le groupe de volumes Azure Elastic SAN a été précédemment configuré avec mise à jour manuelle de la version de clé et que vous souhaitez la modifier pour la mettre à jour automatiquement, il peut se révéler nécessaire de remplacer explicitement la version de la clé par une chaîne vide. Pour plus d’informations sur la procédure à suivre, consultez Rotation manuelle des versions de clé.

Mettre à jour manuellement la version de la clé

Pour utiliser une version spécifique d’une clé pour le chiffrement Azure Elastic SAN, spécifiez la version de la clé lorsque vous activez le chiffrement avec les clés gérées par le client pour le groupe de volumes Elastic SAN. Si vous spécifiez la version de la clé, Azure Elastic SAN utilise cette version pour le chiffrement jusqu’à ce que vous mettiez manuellement à jour la version de la clé.

Lorsque la version de la clé est spécifiée explicitement, vous devez mettre à jour manuellement le groupe de volumes Elastic SAN pour utiliser l’URI de la nouvelle version de la clé lors de la création d’une nouvelle version. Pour savoir comment mettre à jour le groupe de volumes Elastic SAN pour utiliser une nouvelle version de la clé, consultez Configurer le chiffrement avec des clés gérées par le client stockées dans Azure Key Vault.

Révoquer l’accès à un groupe de volumes qui utilise des clés gérées par le client

Pour révoquer temporairement l’accès à un groupe de volumes Elastic SAN qui utilise des clés gérées par le client, désactivez la clé actuellement utilisée dans le coffre de clés. Aucun impact sur le niveau de performance ni temps d’arrêt n’est associé à la désactivation et à la réactivation de la clé.

Après la désactivation de la clé, les clients ne peuvent pas appeler des opérations de lecture ou d’écriture sur des volumes du groupe de volumes ou leurs métadonnées.

Attention

Lorsque vous désactivez la clé dans le coffre de clés, les données de votre groupe de volumes Azure Elastic SAN restent chiffrées, mais elles deviennent inaccessibles jusqu’à ce que vous réactiviez la clé.

Pour révoquer une clé gérée par le client avec PowerShell, appelez la cmdlet Update-AzKeyVaultKey, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé entre crochets par vos propres valeurs pour définir les variables et d’utiliser les variables définies dans les exemples précédents.

$KvName  = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled

Revenir aux clés gérées par la plateforme

Vous pouvez passer des clés gérées par le client à des clés gérées par la plateforme à tout moment, à l’aide du module Azure PowerShell ou d’Azure CLI.

Pour passer des clés gérées par le client aux clés gérées par la plateforme avec PowerShell, appelez Update-AzElasticSanVolumeGroup avec l’option -Encryption, comme indiqué dans l’exemple suivant. N’oubliez pas de remplacer les valeurs de l’espace réservé par vos propres valeurs et d’utiliser les variables définies dans les exemples précédents.

Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey

Voir aussi