Sleutelrotatie configureren

  • 7 minuten

Met geautomatiseerde cryptografische sleutelrotatie in Key Vault kunnen gebruikers Key Vault zo configureren dat automatisch een nieuwe sleutelversie met een opgegeven frequentie wordt gegenereerd. Als u rotatie wilt configureren, kunt u beleid voor sleutelrotatie gebruiken, dat voor elke afzonderlijke sleutel kan worden gedefinieerd.

Het wordt aanbevolen om versleutelingssleutels ten minste om de twee jaar te roteren om te voldoen aan cryptografische best practices.

Zie Key Vault objecten, id's en versiebeheer voor meer informatie over de wijze waarop voor objecten in Key Vault versiebeheer wordt gebruikt.

Integratie met Azure-services

Deze functie maakt end-to-end zero-touch-rotatie mogelijk voor versleuteling-at-rest voor Azure-services met door de klant beheerde sleutel (CMK) die is opgeslagen in Azure Key Vault. Raadpleeg de specifieke documentatie van de Azure-service om te zien of de service end-to-end-rotatie omvat.

Zie voor meer informatie over gegevensversleuteling in Azure:

Prijzen

Er zijn extra kosten per geplande sleutelrotatie.

Vereiste machtigingen

Key Vault-sleutelrotatiefunctie vereist sleutelbeheermachtigingen. U kunt een rol 'Key Vault Crypto Officer' toewijzen voor het beheren van rotatiebeleid en rotatie op aanvraag.

Beleid voor sleutelrotatie

Met het sleutelrotatiebeleid kunnen gebruikers rotatie- en Event Grid-meldingen voor bijna verlopen configureren.

Beleidsinstellingen voor sleutelrotatie:

  • Verlooptijd: verloopinterval van sleutel. Deze wordt gebruikt om de vervaldatum in te stellen op de zojuist gedraaide sleutel. Dit heeft geen invloed op een huidige sleutel.

  • Ingeschakeld/uitgeschakeld: vlag voor het in- of uitschakelen van rotatie voor de sleutel

  • Rotatietypen:

    • Automatisch verlengen op een bepaald moment na het maken (standaard)
    • Automatisch verlengen op een bepaald tijdstip voordat de vervaldatum verloopt. Hiervoor is 'Verlooptijd' vereist die is ingesteld voor het rotatiebeleid en de vervaldatum die is ingesteld op de sleutel.

  • Rotatietijd: sleutelrotatie-interval, de minimumwaarde is zeven dagen na het maken en zeven dagen na verlooptijd

  • Meldingstijd: gebeurtenisinterval voor bijna verlopen sleutel voor Event Grid-melding. Hiervoor is 'Verlooptijd' vereist die is ingesteld voor het rotatiebeleid en de vervaldatum die is ingesteld op de sleutel.

Sleutelrotatie genereert een nieuwe sleutelversie van een bestaande sleutel met nieuw sleutelmateriaal. Doelservices moeten versieloze sleutel-URI gebruiken om automatisch te vernieuwen naar de nieuwste versie van de sleutel. Zorg ervoor dat uw oplossing voor gegevensversleuteling versie-URI met gegevens opslaat om te verwijzen naar hetzelfde sleutelmateriaal voor ontsleutelen/uitpakken als is gebruikt voor versleuteling/wrapbewerkingen om onderbreking van uw services te voorkomen. Alle Azure-services volgen momenteel dat patroon voor gegevensversleuteling.

Schermopname van een voorbeeld van de configuratiepagina van het sleutelrotatiebeleid.

Beleid voor sleutelrotatie configureren

Configureer sleutelrotatiebeleid tijdens het maken van de sleutel.

Melding over bijna verlopen van sleutel configureren

Configuratie van vervaldatummelding voor event grid-sleutel bijna verlopen gebeurtenis. Als geautomatiseerde rotatie niet kan worden gebruikt, zoals wanneer een sleutel wordt geïmporteerd uit lokale HSM, kunt u een melding voor bijna verlopen configureren als herinnering voor handmatige rotatie of als trigger voor aangepaste geautomatiseerde rotatie via integratie met Event Grid. U kunt een melding configureren met dagen, maanden en jaren voordat de vervaldatum wordt geactiveerd om een bijna verlopende gebeurtenis te activeren.

Beleidsbeheer voor sleutelrotatie configureren

Met behulp van de Azure Policy-service kunt u de levenscyclus van de sleutel beheren en ervoor zorgen dat alle sleutels zijn geconfigureerd om binnen een opgegeven aantal dagen te draaien.

Beleidsdefinitie maken en toewijzen

  1. Navigeer naar beleidsresource

  2. Selecteer Toewijzingen onder Ontwerpen aan de linkerkant van de pagina Azure Policy.

  3. Selecteer Beleid toewijzen boven aan de pagina. Deze knop wordt geopend op de pagina Beleidstoewijzing.

  4. Voer de volgende informatie in:

    • Definieer het bereik van het beleid door het abonnement en de resourcegroep te kiezen waarvoor het beleid wordt afgedwongen. Selecteer door op de knop met drie punten in het veld Bereik te klikken.

    • Selecteer de naam van de beleidsdefinitie: 'Sleutels moeten een rotatiebeleid hebben om ervoor te zorgen dat hun rotatie binnen het opgegeven aantal dagen na het maken is gepland. "

    • Ga naar het tabblad Parameters boven aan de pagina.

      • Stel het maximum aantal dagen in dat de parameter moet worden gedraaid op het gewenste aantal dagen, bijvoorbeeld 730.
      • Definieer het gewenste effect van het beleid (Controle of Uitgeschakeld).

  5. Vul eventuele extra velden in. Navigeer door de tabbladen die op de knoppen Vorige en Volgende onder aan de pagina klikken.

  6. Selecteer Controleren + maken.

  7. Selecteer Maken.

Zodra het ingebouwde beleid is toegewezen, kan het tot 24 uur duren voordat de scan is voltooid. Nadat de scan is voltooid, ziet u de nalevingsresultaten zoals hieronder.

Configureer rotatiebeleid voor bestaande sleutels.

Schermopname van een voorbeeld van het configureren van een sleutelrotatiebeleid voor bestaande sleutels.

Azure-CLI

Sla sleutelrotatiebeleid op in een bestand.

Stel rotatiebeleid in voor een sleutel die eerder opgeslagen bestanden doorgeeft met behulp van de azure CLI az keyvault key rotation-policy update command.

az keyvault key rotation-policy update --vault-name <vault-name> --name <key-name> --value </path/to/policy.json>

Azure PowerShell

Roulatiebeleid instellen met behulp van de Cmdlet Azure PowerShell Set-AzKeyVaultKeyRotationPolicy .

Set-AzKeyVaultKeyRotationPolicy -VaultName <vault-name> -KeyName <key-name> -ExpiresIn (New-TimeSpan -Days 720) -KeyRotationLifetimeAction @{Action="Rotate";TimeAfterCreate= (New-TimeSpan -Days 540)}

Rotatie op aanvraag

Sleutelrotatie kan handmatig worden aangeroepen.

Portal

Klik op Nu draaien om de draaiing aan te roepen.

Schermopname die laat zien hoe u een sleutelrotatiebeleid aanroept.

Azure-CLI

Gebruik azure CLI az keyvault key rotate command om de sleutel te draaien.

az keyvault key rotate --vault-name <vault-name> --name <key-name>

Azure PowerShell

Gebruik de Cmdlet Azure PowerShell Invoke-AzKeyVaultKeyRotation .

Invoke-AzKeyVaultKeyRotation -VaultName <vault-name> -Name <key-name>

Melding over bijna verlopen van sleutel configureren

Configuratie van vervaldatummelding voor event grid-sleutel bijna verlopen gebeurtenis. Als geautomatiseerde rotatie niet kan worden gebruikt, zoals wanneer een sleutel wordt geïmporteerd uit lokale HSM, kunt u een melding voor bijna verlopen configureren als herinnering voor handmatige rotatie of als trigger voor aangepaste geautomatiseerde rotatie via integratie met Event Grid. U kunt een melding configureren met dagen, maanden en jaren voordat de vervaldatum wordt geactiveerd om een bijna verlopende gebeurtenis te activeren.

Schermopname van een voorbeeld van een melding voor sleutelrotatiebeleid.

Zie Azure Key Vault als Event Grid-bron voor meer informatie over Event Grid-meldingen in Key Vault