Compartilhar via

Como migrar as principais cargas de trabalho

  • Artigo

O Azure Key Vault e o HSM Gerenciado do Azure não permitem a exportação de chaves, para proteger o material de chave e garantir que as propriedades do HSM das chaves não possam ser alteradas.

Se você quiser que uma chave seja altamente portátil, é melhor criá-la em um HSM com suporte e importá-la para o Azure Key Vault ou HSM Gerenciado do Azure.

Observação

A única exceção será se uma chave for criada com uma política de liberação de chave que restrinja as exportações a enclaves de computação confidenciais em que você confia para lidar com o material de chave. Essas operações de chave segura não são exportações de uso geral da chave.

Há vários cenários que exigem a migração das principais cargas de trabalho:

  • Alternar limites de segurança, como ao alternar entre assinaturas, grupos de recursos ou proprietários.
  • Mover regiões devido a limites de conformidade ou riscos em uma determinada região.
  • Mudar para uma nova oferta, como do Azure Key Vault para o HSM Gerenciado do Azure, que oferece maior segurança, isolamento e conformidade do que o Key Vault Premium.

Abaixo, discutimos vários métodos de migração de cargas de trabalho para usar uma nova chave, seja em um novo cofre ou em um novo HSM gerenciado.

Serviços do Azure que usam a chave gerenciada pelo cliente

Para a maioria das cargas de trabalho que usam chaves no Key Vault, a maneira mais eficaz de migrar uma chave para um novo local (um novo HSM gerenciado ou um novo cofre de chaves em uma assinatura ou região diferente) é:

  1. Crie uma chave no novo cofre ou HSM gerenciado.
  2. Verifique se a carga de trabalho tem acesso a essa nova chave adicionando a identidade da carga de trabalho à função apropriada no Azure Key Vault ou no HSM Gerenciado do Azure.
  3. Atualize a carga de trabalho para usar a nova chave como a chave de criptografia gerenciada pelo cliente.
  4. Mantenha a chave antiga até que você não queira mais os backups dos dados de carga de trabalho que protegidos pela chave.

Por exemplo, para atualizar o Armazenamento do Azure para usar uma nova chave, siga as instruções em Configurar chaves gerenciadas pelo cliente de uma conta de armazenamento existente – Armazenamento do Azure. A chave gerenciada pelo cliente anterior é necessária até que o Armazenamento seja atualizado para a nova chave. Depois que o Armazenamento for atualizado com êxito para a nova chave, a chave anterior não será mais necessária.

Aplicativos personalizados e criptografia do lado do cliente

Para criptografia do lado do cliente ou aplicativos personalizados criados que criptografam dados diretamente usando as chaves no Key Vault, o processo é diferente:

  1. Crie o cofre de chaves ou o HSM gerenciado e crie uma KEK (chave de criptografia de chave).
  2. Criptografe novamente todas as chaves ou os dados que foram criptografados pela chave antiga usando a nova chave. (Se os dados foram criptografados diretamente pela chave no cofre de chaves, isso poderá demorar um pouco, pois todos os dados precisam ser lidos, descriptografados e criptografados com a nova chave. Use a criptografia de envelope sempre que possível para acelera essas rotações de chave).

Ao criptografar novamente os dados, recomendamos uma hierarquia de chaves de três níveis, o que facilitará a rotação de KEK no futuro: 1. A chave de criptografia de chave no Azure Key Vault ou no HSM gerenciado 1. A Chave Primária 1. As chaves de criptografia de dados derivadas da chave primária

  1. Verifique os dados após a migração (e antes da exclusão).
  2. Não exclua o cofre de chaves e a chave antigos até que você não queira mais os backups de dados associados a eles.

Como migrar chaves de locatário na Proteção de Informações do Azure

A migração de chaves de locatário na Proteção de Informações do Azure é chamada de "rechaveamento" ou "rotação de chave". Gerenciadas pelo cliente – As operações do ciclo de vida da chave de locatário da AIP têm instruções detalhadas de como executar essa operação.

Não é seguro excluir a chave de locatário antiga até que você não precise mais do conteúdo ou dos documentos protegidos com a chave de locatário antiga. Se você quiser migrar documentos para serem protegidos com a nova chave, precisará:

  1. Remover a proteção do documento protegido com a chave de locatário antiga.
  2. Aplicar a proteção novamente, que usará a nova chave de locatário.

Próximas etapas