Udostępnij za pośrednictwem


Jak migrować kluczowe obciążenia

Usługa Azure Key Vault i zarządzany moduł HSM platformy Azure nie zezwalają na eksportowanie kluczy, aby chronić materiał klucza i upewnić się, że nie można zmienić właściwości modułu HSM kluczy.

Jeśli chcesz, aby klucz był wysoce przenośny, najlepiej utworzyć go w obsługiwanym module HSM i zaimportować go do usługi Azure Key Vault lub zarządzanego modułu HSM platformy Azure.

Uwaga

Jedynym wyjątkiem jest utworzenie klucza przy użyciu zasad wydania klucza ograniczającego eksporty do poufnych enklaw obliczeniowych, którym ufasz w celu obsługi materiału klucza. Takie bezpieczne operacje kluczy nie są eksportami klucza ogólnego przeznaczenia.

Istnieje kilka scenariuszy, które wymagają migracji kluczowych obciążeń:

  • Przełączanie granic zabezpieczeń, takich jak przełączanie się między subskrypcjami, grupami zasobów lub właścicielami.
  • Przenoszenie regionów ze względu na granice zgodności lub zagrożenia w danym regionie.
  • Zmiana na nową ofertę, na przykład z usługi Azure Key Vault do zarządzanego modułu HSM platformy Azure, która zapewnia większe bezpieczeństwo, izolację i zgodność niż usługa Key Vault Premium.

Poniżej omówiono kilka metod migracji obciążeń w celu użycia nowego klucza do nowego magazynu lub do nowego zarządzanego modułu HSM.

Usługi platformy Azure korzystające z klucza zarządzanego przez klienta

W przypadku większości obciążeń korzystających z kluczy w usłudze Key Vault najbardziej efektywnym sposobem migracji klucza do nowej lokalizacji (nowy zarządzany moduł HSM lub nowy magazyn kluczy w innej subskrypcji lub regionie) jest:

  1. Utwórz nowy klucz w nowym magazynie lub zarządzanym module HSM.
  2. Upewnij się, że obciążenie ma dostęp do tego nowego klucza, dodając tożsamość obciążenia do odpowiedniej roli w usłudze Azure Key Vault lub zarządzanym module HSM platformy Azure.
  3. Zaktualizuj obciążenie, aby użyć nowego klucza jako klucza szyfrowania zarządzanego przez klienta.
  4. Zachowaj stary klucz, dopóki nie chcesz już tworzyć kopii zapasowych danych obciążenia, które są pierwotnie chronione.

Aby na przykład zaktualizować usługę Azure Storage, aby użyć nowego klucza, postępuj zgodnie z instrukcjami w temacie Konfigurowanie kluczy zarządzanych przez klienta dla istniejącego konta magazynu — Azure Storage. Poprzedni klucz zarządzany przez klienta jest potrzebny do momentu zaktualizowania magazynu do nowego klucza; gdy magazyn został pomyślnie zaktualizowany do nowego klucza, poprzedni klucz nie jest już potrzebny.

Aplikacje niestandardowe i szyfrowanie po stronie klienta

W przypadku utworzonych aplikacji szyfrowania po stronie klienta lub niestandardowych, które bezpośrednio szyfrują dane przy użyciu kluczy w usłudze Key Vault, proces jest inny:

  1. Utwórz nowy magazyn kluczy lub zarządzany moduł HSM i utwórz nowy klucz szyfrowania klucza (KEK).
  2. Ponownie zaszyfruj wszystkie klucze lub dane zaszyfrowane za pomocą starego klucza przy użyciu nowego klucza. (Jeśli dane zostały zaszyfrowane bezpośrednio przez klucz w magazynie kluczy, może to zająć trochę czasu, ponieważ wszystkie dane muszą być odczytywane, odszyfrowywane i szyfrowane przy użyciu nowego klucza. Użyj szyfrowania kopert, jeśli to możliwe, aby przyspieszyć takie rotacje kluczy.

Podczas ponownego szyfrowania danych zalecamy hierarchię klucza trzy-poziomowego, co ułatwi rotację klucza KEK w przyszłości: 1. Klucz szyfrowania kluczy w usłudze Azure Key Vault lub zarządzany moduł HSM 1. Klucz podstawowy 1. Klucze szyfrowania danych pochodzące z klucza podstawowego

  1. Sprawdź dane po migracji (i przed usunięciem).
  2. Nie usuwaj starego klucza/magazynu kluczy, dopóki nie chcesz już tworzyć kopii zapasowych danych skojarzonych z nim.

Migrowanie kluczy dzierżawy w usłudze Azure Information Protection

Migrowanie kluczy dzierżawy w usłudze Azure Information Protection jest nazywane "ponownym kluczem" lub "rolling your key". Zarządzane przez klienta — operacje cyklu życia klucza dzierżawy usługi AIP zawiera szczegółowe instrukcje dotyczące wykonywania tej operacji.

Nie można bezpiecznie usunąć starego klucza dzierżawy, dopóki nie potrzebujesz już zawartości ani dokumentów chronionych przy użyciu starego klucza dzierżawy. Jeśli chcesz migrować dokumenty, które mają być chronione przez nowy klucz, musisz:

  1. Usuń ochronę z dokumentu chronionego za pomocą starego klucza dzierżawy.
  2. Ponownie zastosuj ochronę, która będzie używać nowego klucza dzierżawy.

Następne kroki