Gestire le chiavi gestite dal cliente per la SAN di Elastic in Azure
Tutti i dati scritti in un volume SAN di Elastic vengono crittografati automaticamente quando sono inattivi con una chiave di crittografia dei dati (chiave DEK). I DEK di Azure sono sempre gestiti dalla piattaforma (gestiti da Microsoft). Azure usa la crittografia envelope, detta anche wrapping, che implica l'uso di una chiave di crittografia della chiave (KEK) per crittografare la chiave DEK. Per impostazione predefinita, la chiave KEK è gestita dalla piattaforma, ma è possibile creare e gestire la chiave KEK personalizzata. Le chiavi gestite dal cliente offrono maggiore flessibilità per gestire i controlli di accesso e consentono di soddisfare i requisiti di sicurezza e conformità dell'organizzazione.
È possibile controllare tutti gli aspetti delle chiavi di crittografia delle chiavi, tra cui:
- Quale chiave viene usata
- Dove vengono archiviate le chiavi
- Rotazione dei tasti
- Possibilità di passare da chiavi gestite dal cliente a chiavi gestite dalla piattaforma
Questo articolo illustra come gestire le chiavi KEK gestite dal cliente.
Nota
La crittografia envelope consente di modificare la configurazione della chiave senza influire sul volume SAN di Elastic. Quando si apporta una modifica, il servizio SAN di Elastic crittografa nuovamente le chiavi di crittografia dei dati con le nuove chiavi. La protezione della chiave di crittografia dei dati cambia, ma i dati nei volumi SAN di Elastic rimangono sempre crittografati. Non è richiesta alcuna azione aggiuntiva da parte tua per garantire che i tuoi dati siano protetti. La modifica della configurazione della chiave non influisce sulle prestazioni e non vi è alcun tempo di inattività associato a una modifica di questo tipo.
Limiti
L'elenco seguente contiene le aree in cui SAN di Elastic è attualmente disponibile e le aree che supportano sia l'archiviazione con ridondanza della zona (ZRS) che l'archiviazione con ridondanza locale (LRS) o solo LRS:
- Australia orientale - LRS
- Brasile meridionale - LRS
- Canada centrale - LRS
- Stati Uniti centrali - Archiviazione con ridondanza locale
- Asia orientale - LRS
- Stati Uniti orientali - LRS
- Stati Uniti orientali 2 - LRS
- Francia centrale - LRS e ZRS
- Germania centro-occidentale - LRS
- India centrale - Archiviazione con ridondanza locale
- Giappone orientale - LRS
- Corea centrale - LRS
- Europa settentrionale - LRS e ZRS
- Norvegia orientale - Archiviazione con ridondanza locale
- Sudafrica settentrionale - LRS
- Stati Uniti centro-meridionali - LRS
- Asia sud-orientale -LRS
- Svezia centrale - LRS
- Svizzera settentrionale - LRS
- Emirati Arabi Uniti settentrionali - Archiviazione con ridondanza locale
- Regno Unito meridionale - LRS
- Europa occidentale - LRS e ZRS
- Stati Uniti occidentali 2 - LRS e ZRS
- Stati Uniti occidentali 3 - LRS
SAN di Elastic è disponibile anche nelle aree seguenti, ma senza il supporto della zona di disponibilità:
- Canada orientale - Archiviazione con ridondanza locale
- Giappone occidentale - Archiviazione con ridondanza locale
- Stati Uniti centro-settentrionali - Archiviazione con ridondanza locale
Per abilitare queste aree, eseguire il comando seguente per registrare il flag di funzionalità necessario:
Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"
Modificare la chiave
È possibile modificare la chiave usata per la crittografia SAN di Elastic in Azure in qualsiasi momento.
Per modificare la chiave con PowerShell, chiamare Update-AzElasticSanVolumeGroup e specificare il nome e la versione della nuova chiave. Se la nuova chiave si trova in un insieme di credenziali delle chiavi diverso, è necessario aggiornare anche l'URI dell'insieme di credenziali delle chiavi.
Se la nuova chiave si trova in un insieme di credenziali delle chiavi differente, è necessario concedere all'identità gestita l'accesso alla chiave nel nuovo insieme di credenziali. Se si sceglie di aggiornare manualmente la versione della chiave, sarà anche necessario aggiornare l'URI dell'insieme di credenziali delle chiavi.
Aggiornare la versione della chiave
Seguire le procedure consigliate per la crittografia significa ruotare la chiave che protegge il gruppo di volumi SAN di Elastic in base a una pianificazione regolare, in genere almeno ogni due anni. SAN di Elastic in Azure non modifica mai la chiave nell'insieme di credenziali delle chiavi, ma è possibile configurare un criterio di rotazione delle chiavi per ruotare la chiave in base ai requisiti di conformità. Per altre informazioni, vedere Configurare la rotazione automatica delle chiavi crittografiche in Azure Key Vault.
Al termine della rotazione delle chiavi nell'insieme di credenziali delle chiavi, la configurazione KEK gestita dal cliente per il gruppo di volumi SAN di Elastic deve essere aggiornata per usare la nuova versione della chiave. Le chiavi gestite dal cliente supportano sia l'aggiornamento automatico che manuale della versione della chiave KEK. È possibile decidere quale approccio si desidera usare quando si configurano inizialmente le chiavi gestite dal cliente o quando si aggiorna la configurazione.
Quando si modifica la chiave o la versione della chiave, la protezione della chiave di crittografia radice cambia, ma i dati nel gruppo di volumi SAN di Elastic in Azure rimangono sempre crittografati. Non è necessaria alcuna azione aggiuntiva da parte dell'utente per assicurarsi che i dati siano protetti. La rotazione della versione delle chiavi non influisce sulle prestazioni e non implica tempi di inattività associai alla rotazione della versione delle chiavi.
Importante
Per ruotare una chiave, creare una nuova versione della chiave nell'insieme di credenziali delle chiavi in base ai requisiti di conformità. SAN di Elastic in Azure non gestisce la rotazione delle chiavi, quindi sarà necessario gestire la rotazione della chiave nell'insieme di credenziali delle chiavi.
Quando si ruota la chiave usata per le chiavi gestite dal cliente, tale azione non è attualmente registrata nei log di Monitoraggio di Azure per la SAN di Elastic in Azure.
Aggiornare automaticamente la versione della chiave
Per aggiornare automaticamente una chiave gestita dal cliente quando è disponibile una nuova versione, omettere la versione della chiave quando si abilita la crittografia con chiavi gestite dal cliente per il gruppo di volumi SAN di Elastic. Se la versione della chiave viene omessa,SAN di Elastic in Azure verifica ogni giorno l'insieme di credenziali delle chiavi per accertare la disponibilità di una nuova versione di una chiave gestita dal cliente. Se è disponibile una nuova versione della chiave, SAN di Elastic in Azure usa automaticamente la versione più recente della chiave.
SAN di Elastic in Azure controlla l'insieme di credenziali delle chiavi per verificare la disponibilità di una nuova versione della chiave una sola volta al giorno. Quando si ruota una chiave, assicurarsi di attendere 24 ore prima di disabilitare la versione precedente.
Se il gruppo di volumi SAN di Elastic è stato configurato in precedenza per l'aggiornamento manuale della versione delle chiavi e si desidera modificarlo in modo che venga aggiornato automaticamente, potrebbe essere necessario modificare la versione delle chiavi in una stringa vuota. Per informazioni dettagliate su come eseguire questa operazione, vedere Rotazione manuale della versione delle chiavi.
Aggiornare manualmente la versione della chiave
Per usare una versione specifica di una chiave per la crittografia SAN di Elastic in Azure, specificare la versione della chiave quando si abilita la crittografia con chiavi gestite dal cliente per il gruppo di volumi SAN di Elastic. Se si specifica la versione della chiave, la rete SAN di Elastic in Azure usa tale versione per la crittografia fino a quando non si aggiorna manualmente la versione della chiave.
Quando la versione della chiave viene specificata in modo esplicito, è necessario aggiornare manualmente il gruppo di volumi SAN di Elastic per usare il nuovo URI della versione della chiave quando viene creata una nuova versione. Per informazioni su come aggiornare il gruppo di volumi SAN di Elastic per l'uso di una nuova versione della chiave, vedere Configurare la crittografia con le chiavi gestite dal cliente archiviate in Azure Key Vault.
Revocare l'accesso a un gruppo di volumi che usa chiavi gestite dal cliente
Per revocare temporaneamente l'accesso a un gruppo di volumi SAN di Elastic che usa chiavi gestite dal cliente, disabilitare la chiave attualmente usata nell'insieme di credenziali delle chiavi. La disabilitazione e la riabilitazione della chiave non comporta alcun impatto sulle prestazioni o tempi di inattività.
Dopo che la chiave è stata disabilitata, i client non possono chiamare operazioni che leggono o scrivono nei volumi nel gruppo di volumi o nei relativi metadati.
Attenzione
Quando si disabilita la chiave nell'insieme di credenziali delle chiavi, i dati nel gruppo di volumi SAN di Elastic in Azure rimangono crittografati, ma diventano inaccessibili fino a quando non si riabilita la chiave.
Per revocare una chiave gestita dal cliente con PowerShell, chiamare il comando Update-AzKeyVaultKey, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto tra parentesi quadre con i propri valori per definire le variabili o usare le variabili definite negli esempi precedenti.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Tornare alle chiavi gestite dalla piattaforma
È possibile passare dalle chiavi gestite dal cliente alle chiavi gestite da una piattaforma in qualsiasi momento, usando il modulo Azure PowerShell o l'interfaccia della riga di comando di Azure.
Per passare da chiavi gestite dal cliente a chiavi gestite dalla piattaforma con PowerShell, chiamare Update-AzElasticSanVolumeGroup con l'opzione -Encryption, come illustrato nell'esempio seguente. Ricordare di sostituire i valori segnaposto con i propri valori e di usare le variabili definite negli esempi precedenti.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey