Zarządzanie kluczami zarządzanymi przez klienta dla usługi Azure Elastic SAN
Wszystkie dane zapisywane w woluminie Elastic SAN są automatycznie szyfrowane w spoczynku przy użyciu klucza szyfrowania danych (DEK). Usługa Azure DEKs jest zawsze zarządzana przez platformę (zarządzana przez firmę Microsoft). Platforma Azure używa szyfrowania kopertowego, nazywanego również zawijaniem, które polega na użyciu Klucza Szyfrowania Kluczy (KEK) do zaszyfrowania Klucza Szyfrowania Danych (DEK). Domyślnie KEK jest zarządzany przez system platformy, ale możesz stworzyć własny KEK i zarządzać nim. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania mechanizmami kontroli dostępu i mogą pomóc spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności.
Kontrolujesz wszystkie aspekty swoich kluczy szyfrowania, w tym:
- Który klucz jest używany
- Gdzie są przechowywane klucze
- Jak są obracane klucze
- Możliwość przełączania się między kluczami zarządzanymi przez klienta i zarządzanymi przez platformę
W tym artykule wyjaśniamy, jak zarządzać kluczami szyfrującymi KEKs zarządzanymi przez klienta.
Uwaga
Szyfrowanie kopert umożliwia zmianę konfiguracji klucza bez wpływu na woluminy elastycznej sieci SAN. Po zmianie usługa Elastic SAN ponownie szyfruje klucze szyfrowania danych przy użyciu nowych kluczy. Ochrona klucza szyfrowania danych zmienia się, ale dane w woluminach elastic SAN pozostają szyfrowane przez cały czas. Użytkownik nie musi podejmować żadnych dodatkowych działań, aby zapewnić ochronę swoich danych. Zmiana konfiguracji klucza nie ma wpływu na wydajność i nie ma żadnych przestojów związanych z taką zmianą.
Ograniczenia
Poniższa lista zawiera regiony, w których jest obecnie dostępna elastyczna sieć SAN i które regiony obsługują magazyn strefowo nadmiarowy (ZRS) i magazyn lokalnie nadmiarowy (LRS) lub tylko magazyn LRS:
- Australia Wschodnia — LRS
- Brazylia Południowa — LRS
- Kanada Środkowa — LRS
- Środkowe stany USA — LRS
- Azja Wschodnia — LRS
- Wschodnie stany USA — LRS
- Wschodnie stany USA 2 — LRS
- Francja Środkowa — LRS i ZRS
- Niemcy Zachodnio-środkowe — LRS
- Indie Środkowe — LRS
- Japonia Wschodnia — LRS
- Korea Środkowa — LRS
- Europa Północna — LRS i ZRS
- Norwegia Wschodnia — LRS
- Północna część Republiki Południowej Afryki — LRS
- Południowo-środkowe stany USA — LRS
- Azja Południowo-Wschodnia — LRS
- Szwecja Środkowa — LRS
- Szwajcaria Północna — LRS
- Północ Zjednoczonych Emiratów Arabskich — LRS
- Południowe Zjednoczone Królestwo — LRS
- Europa Zachodnia — LRS i ZRS
- Zachodnie stany USA 2 — LRS i ZRS
- Zachodnie stany USA 3 — LRS
Elastyczna sieć SAN jest również dostępna w następujących regionach, ale bez obsługi stref dostępności. Aby wdrożyć w następujących regionach, użyj modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure:
- Kanada Wschodnia — LRS
- Japonia Zachodnia — LRS
- Północno-środkowe stany USA — LRS
- Australia Środkowa — LRS
- Południowo-Wschodnia Brazylia — LRS
- Korea Południowa — LRS
- Centralny Bank Zjednoczonych Emiratów Arabskich — LRS
- Szwajcaria Zachodnia — LRS
- Niemcy Północne — LRS
- Francja Południowa — LRS
- Norwegia Zachodnia — LRS
- Szwecja Południowa — LRS
- Zachodnie środkowe stany USA — LRS
- Zachodnie stany USA — LRS
- Zachodnie Zjednoczone Królestwo — LRS
Aby włączyć te regiony, uruchom następujące polecenie, aby zarejestrować wymaganą flagę funkcji:
Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"
Zmienianie klucza
Klucz używany do szyfrowania Azure Elastic SAN można zmienić w dowolnym momencie.
Aby zmienić klucz przy użyciu programu PowerShell, wywołaj metodę Update-AzElasticSanVolumeGroup i podaj nową nazwę klucza i wersję. Jeśli nowy klucz znajduje się w innym magazynie kluczy, należy również zaktualizować identyfikator URI magazynu kluczy.
Jeśli nowy klucz znajduje się w innym magazynie kluczy, należy udzielić tożsamości zarządzanej dostępu do klucza w nowym magazynie. Jeśli zdecydujesz się na ręczną aktualizację wersji klucza, musisz również zaktualizować identyfikator URI magazynu kluczy.
Aktualizowanie wersji klucza
Stosowanie najlepszych praktyk kryptograficznych oznacza regularną zmianę klucza, który chroni grupę woluminów Elastic SAN, zwykle co najmniej co dwa lata. Usługa Azure Elastic SAN nigdy nie modyfikuje klucza w magazynie kluczy, ale można skonfigurować politykę rotacji kluczy zgodnie z wymaganiami zgodności. Aby uzyskać więcej informacji, zobacz Konfigurowanie automatycznego obracania kluczy kryptograficznych w usłudze Azure Key Vault.
Po rotacji klucza w magazynie kluczy należy zaktualizować ustawienia KEK, zarządzane przez klienta, dla elastycznej grupy woluminów SAN, aby użyć nowej wersji klucza. Klucze zarządzane przez klienta obsługują zarówno automatyczne, jak i ręczne aktualizowanie wersji KEK. Możesz zdecydować, które podejście ma być używane podczas początkowego konfigurowania kluczy zarządzanych przez klienta lub podczas aktualizowania konfiguracji.
Podczas modyfikowania klucza lub wersji klucza ochrona głównego klucza szyfrowania zmienia się, ale dane w grupie woluminów Elastic SAN platformy Azure pozostają szyfrowane przez cały czas. Ze swojej strony nie jest wymagana dodatkowa akcja, aby upewnić się, że dane są chronione. Zmiana wersji klucza nie ma wpływu na wydajność i nie wiąże się z żadnym przestojem.
Ważne
Aby obrócić klucz, utwórz nową wersję klucza w magazynie kluczy zgodnie z wymaganiami dotyczącymi zgodności. Usługa Azure Elastic SAN nie obsługuje rotacji kluczy, więc będziesz musiał zarządzać rotacją klucza w magazynie kluczy.
W przypadku rotacji klucza używanego dla kluczy zarządzanych przez klienta ta akcja nie jest obecnie rejestrowana w dziennikach usługi Azure Monitor dla usługi Azure Elastic SAN.
Automatyczna aktualizacja wersji klucza
Aby automatycznie zaktualizować klucz zarządzany przez klienta po udostępnieniu nowej wersji, pomiń wersję klucza po włączeniu szyfrowania za pomocą kluczy zarządzanych przez klienta dla grupy woluminów Elastic SAN. Jeśli wersja klucza zostanie pominięta, usługa Azure Elastic SAN sprawdza magazyn kluczy codziennie pod kątem nowej wersji klucza zarządzanego przez klienta. Jeśli jest dostępna nowa wersja klucza, usługa Azure Elastic SAN automatycznie używa najnowszej wersji klucza.
Usługa Azure Elastic SAN sprawdza magazyn kluczy pod kątem nowej wersji klucza tylko raz dziennie. Podczas obracania klucza pamiętaj, aby poczekać 24 godziny przed wyłączeniem starszej wersji.
Jeśli grupa woluminów Elastic SAN została wcześniej skonfigurowana do ręcznego aktualizowania wersji klucza i chcesz zmienić ją automatycznie, może być konieczne jawne zmianę wersji klucza na pusty ciąg. Aby uzyskać szczegółowe informacje na temat tego, jak to zrobić, zobacz Ręczna rotacja wersji klucza.
Ręczne aktualizowanie wersji klucza
Aby użyć określonej wersji klucza dla szyfrowania Elastycznej sieci SAN platformy Azure, określ tę wersję klucza po włączeniu szyfrowania za pomocą kluczy zarządzanych przez klienta dla elastycznej grupy woluminów SIECI SAN. Jeśli określisz wersję klucza, usługa Azure Elastic SAN używa tej wersji do szyfrowania do momentu ręcznego zaktualizowania wersji klucza.
Po jawnym określeniu wersji klucza należy ręcznie zaktualizować grupę woluminów Elastic SAN, aby używać nowego identyfikatora URI wersji klucza podczas tworzenia nowej wersji. Aby dowiedzieć się, jak zaktualizować grupę woluminów Elastic SAN tak, aby korzystała z nowej wersji klucza, zobacz Konfigurowanie szyfrowania przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault.
Cofnij dostęp do grupy woluminów korzystającej z kluczy zarządzanych przez klienta
Aby tymczasowo odwołać dostęp do elastycznej grupy woluminów SIECI SAN korzystającej z kluczy zarządzanych przez klienta, wyłącz klucz używany obecnie w magazynie kluczy. Nie ma wpływu na wydajność ani przestoju związanego z wyłączeniem i ponownym włączeniem klucza.
Po wyłączeniu klucza klienci nie mogą wywoływać operacji odczytujących lub zapisujących do woluminów w grupie woluminów lub ich metadanych.
Uwaga
Po wyłączeniu klucza w magazynie kluczy dane w grupie woluminów Elastic SAN platformy Azure pozostają zaszyfrowane, ale stają się niedostępne do momentu ponownego włączenia klucza.
Aby odwołać klucz zarządzany przez klienta za pomocą programu PowerShell, wywołaj polecenie Update-AzKeyVaultKey , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami, aby zdefiniować zmienne, lub użyć zmiennych zdefiniowanych w poprzednich przykładach.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Przełącz się z powrotem do kluczy zarządzanych przez platformę
Klucze zarządzane przez klienta można przełączać z powrotem do kluczy zarządzanych przez platformę w dowolnym momencie przy użyciu modułu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Aby przełączyć się z kluczy zarządzanych przez klienta z powrotem do kluczy zarządzanych przez platformę za pomocą programu PowerShell, wywołaj polecenie Update-AzElasticSanVolumeGroup z opcją -Encryption , jak pokazano w poniższym przykładzie. Pamiętaj, aby zastąpić wartości symboli zastępczych własnymi wartościami i użyć zmiennych zdefiniowanych w poprzednich przykładach.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey