Delen via

Door de klant beheerde sleutels beheren voor Azure Elastic SAN

  • Artikel

Alle gegevens die naar een elastisch SAN-volume worden geschreven, worden automatisch versleuteld in rust met een DEK (Data Encryption Key). Azure DEK's worden altijd platformbeheerd (beheerd door Microsoft). Azure maakt gebruik van envelopversleuteling, ook wel wrapping genoemd, waarbij een KEK (Key Encryption Key) wordt gebruikt om de DEK te versleutelen. De KEK wordt standaard door het platform beheerd, maar u kunt uw eigen KEK maken en beheren. Door de klant beheerde sleutels bieden meer flexibiliteit voor het beheren van toegangsbeheer en kunnen u helpen te voldoen aan de beveiligings- en nalevingsvereisten van uw organisatie.

U bepaalt alle aspecten van uw sleutelversleutelingssleutels, waaronder:

  • Welke sleutel wordt gebruikt
  • Waar uw sleutels worden opgeslagen
  • Hoe de sleutels worden gedraaid
  • De mogelijkheid om te schakelen tussen door de klant beheerde en door het platform beheerde sleutels

In dit artikel wordt uitgelegd hoe u uw door de klant beheerde KEK's beheert.

Notitie

Met envelopversleuteling kunt u de sleutelconfiguratie wijzigen zonder dat dit van invloed is op uw Elastische SAN-volumes. Wanneer u een wijziging aanbrengt, versleutelt de Elastic SAN-service de gegevensversleutelingssleutels opnieuw met de nieuwe sleutels. De beveiliging van de gegevensversleutelingssleutel verandert, maar de gegevens in uw Elastische SAN-volumes blijven altijd versleuteld. Er zijn geen aanvullende acties van uw kant vereist om ervoor te zorgen dat uw gegevens worden beschermd. Het wijzigen van de sleutelconfiguratie heeft geen invloed op de prestaties en er is geen downtime gekoppeld aan een dergelijke wijziging.

Beperkingen

De volgende lijst bevat de regio's waarin Elastic SAN momenteel beschikbaar is en in welke regio's zowel zone-redundante opslag (ZRS) als lokaal redundante opslag (LRS) of alleen LRS ondersteunen:

  • Australië - oost - LRS
  • Brazilië - zuid - LRS
  • Canada - centraal - LRS
  • VS - centraal - LRS
  • Azië - oost - LRS
  • VS - oost - LRS
  • VS - oost 2 - LRS
  • Frankrijk - centraal - LRS & ZRS
  • Duitsland - west-centraal - LRS
  • India - centraal - LRS
  • Japan - oost - LRS
  • Korea - centraal - LRS
  • Europa - noord - LRS & ZRS
  • Noorwegen - oost - LRS
  • Zuid-Afrika - Noord - LRS
  • VS - zuid-centraal - LRS
  • Azië - zuidoost - LRS
  • Zweden - centraal - LRS
  • Zwitserland - noord - LRS
  • UAE - noord - LRS
  • VK - zuid - LRS
  • Europa - west - LRS & ZRS
  • VS - west 2 - LRS & ZRS
  • VS - west 3 - LRS

Elastisch SAN is ook beschikbaar in de volgende regio's, maar zonder ondersteuning voor beschikbaarheidszones:

  • Canada - oost - LRS
  • Japan West - LRS
  • VS - noord-centraal - LRS

Als u deze regio's wilt inschakelen, voert u de volgende opdracht uit om de benodigde functievlag te registreren:

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

De sleutel wijzigen

U kunt de sleutel die u gebruikt voor Elastische SAN-versleuteling van Azure op elk gewenst moment wijzigen.

Als u de sleutel wilt wijzigen met PowerShell, roept u Update-AzElasticSanVolumeGroup aan en geeft u de nieuwe sleutelnaam en versie op. Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u ook de sleutelkluis-URI bijwerken.

Als de nieuwe sleutel zich in een andere sleutelkluis bevindt, moet u de beheerde identiteit toegang verlenen tot de sleutel in de nieuwe kluis. Als u kiest voor handmatig bijwerken van de sleutelversie, moet u ook de sleutelkluis-URI bijwerken.

De sleutelversie bijwerken

Het volgen van cryptografische aanbevolen procedures betekent dat u de sleutel die uw elastische SAN-volumegroep beveiligt, regelmatig roteert, meestal ten minste om de twee jaar. Azure Elastic SAN wijzigt de sleutel nooit in de sleutelkluis, maar u kunt een sleutelrotatiebeleid configureren om de sleutel te roteren op basis van uw nalevingsvereisten. Zie Automatische rotatie van cryptografische sleutels configureren in Azure Key Vault voor meer informatie.

Nadat de sleutel in de sleutelkluis is geroteerd, moet de door de klant beheerde KEK-configuratie voor uw elastische SAN-volumegroep worden bijgewerkt om de nieuwe sleutelversie te kunnen gebruiken. Door de klant beheerde sleutels ondersteunen zowel het automatisch als handmatig bijwerken van de KEK-versie. U kunt bepalen welke benadering u wilt gebruiken wanneer u in eerste instantie door de klant beheerde sleutels configureert of wanneer u uw configuratie bijwerkt.

Wanneer u de sleutel of de sleutelversie wijzigt, verandert de beveiliging van de hoofdversleutelingssleutel, maar blijven de gegevens in uw Elastische SAN-volumegroep van Azure altijd versleuteld. Er is geen extra actie vereist om ervoor te zorgen dat uw gegevens worden beveiligd. Het roteren van de sleutelversie heeft geen invloed op de prestaties en er is geen downtime gekoppeld aan het roteren van de sleutelversie.

Belangrijk

Als u een sleutel wilt draaien, maakt u een nieuwe versie van de sleutel in de sleutelkluis op basis van uw nalevingsvereisten. Azure Elastic SAN verwerkt sleutelrotatie niet, dus u moet de rotatie van de sleutel in de sleutelkluis beheren.

Wanneer u de sleutel roteert die wordt gebruikt voor door de klant beheerde sleutels, wordt die actie momenteel niet vastgelegd in de Azure Monitor-logboeken voor Azure Elastic SAN.

De sleutelversie automatisch bijwerken

Als u automatisch een door de klant beheerde sleutel wilt bijwerken wanneer er een nieuwe versie beschikbaar is, laat u de sleutelversie weg wanneer u versleuteling inschakelt met door de klant beheerde sleutels voor de elastische SAN-volumegroep. Als de sleutelversie wordt weggelaten, controleert Azure Elastic SAN de sleutelkluis dagelijks op een nieuwe versie van een door de klant beheerde sleutel. Als er een nieuwe sleutelversie beschikbaar is, gebruikt Azure Elastic SAN automatisch de nieuwste versie van de sleutel.

Azure Elastic SAN controleert de sleutelkluis slechts eenmaal per dag op een nieuwe sleutelversie. Wanneer u een sleutel draait, wacht u 24 uur voordat u de oudere versie uitschakelt.

Als de elastische SAN-volumegroep eerder is geconfigureerd voor handmatig bijwerken van de sleutelversie en u deze wilt wijzigen om automatisch bij te werken, moet u de sleutelversie mogelijk expliciet wijzigen in een lege tekenreeks. Zie Handmatige sleutelversierotatie voor meer informatie over hoe u dit doet.

De sleutelversie handmatig bijwerken

Als u een specifieke versie van een sleutel voor Elastische SAN-versleuteling van Azure wilt gebruiken, geeft u die sleutelversie op wanneer u versleuteling inschakelt met door de klant beheerde sleutels voor de elastische SAN-volumegroep. Als u de sleutelversie opgeeft, gebruikt Azure Elastic SAN die versie voor versleuteling totdat u de sleutelversie handmatig bijwerkt.

Wanneer de sleutelversie expliciet is opgegeven, moet u de elastische SAN-volumegroep handmatig bijwerken om de nieuwe sleutelversie-URI te gebruiken wanneer een nieuwe versie wordt gemaakt. Zie Versleuteling configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault voor meer informatie over het bijwerken van de elastische SAN-volumegroep voor het gebruik van een nieuwe versie van de sleutel.

Toegang intrekken tot een volumegroep die gebruikmaakt van door de klant beheerde sleutels

Als u de toegang tot een elastische SAN-volumegroep die gebruikmaakt van door de klant beheerde sleutels tijdelijk wilt intrekken, schakelt u de sleutel uit die momenteel wordt gebruikt in de sleutelkluis. Er is geen invloed op de prestaties of downtime die is gekoppeld aan het uitschakelen en opnieuw inschakelen van de sleutel.

Nadat de sleutel is uitgeschakeld, kunnen clients geen bewerkingen aanroepen die lezen van of schrijven naar volumes in de volumegroep of hun metagegevens.

Let op

Wanneer u de sleutel in de sleutelkluis uitschakelt, blijven de gegevens in uw Elastische SAN-volumegroep van Azure versleuteld, maar worden deze niet meer toegankelijk totdat u de sleutel opnieuw kunt activeren.

Als u een door de klant beheerde sleutel wilt intrekken met PowerShell, roept u de opdracht Update-AzKeyVaultKey aan, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden om de variabelen te definiëren of gebruik de variabelen die in de vorige voorbeelden zijn gedefinieerd.

$KvName  = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled

Overschakelen naar door platform beheerde sleutels

U kunt op elk gewenst moment overschakelen van door de klant beheerde sleutels naar door het platform beheerde sleutels met behulp van de Azure PowerShell-module of de Azure CLI.

Als u wilt overschakelen van door de klant beheerde sleutels naar door het platform beheerde sleutels met PowerShell, roept u Update-AzElasticSanVolumeGroup aan met de -Encryption optie, zoals wordt weergegeven in het volgende voorbeeld. Vergeet niet om de tijdelijke aanduidingen te vervangen door uw eigen waarden en om de variabelen te gebruiken die in de vorige voorbeelden zijn gedefinieerd.

Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey

Zie ook