Como migrar cargas de trabalho importantes

O Azure Key Vault e o Azure Managed HSM não permitem a exportação de chaves, para proteger o material da chave e garantir que as propriedades do HSM das chaves não possam ser alteradas.

Se você quiser que uma chave seja altamente portátil, é melhor criá-la em um HSM com suporte e importá-la para o Azure Key Vault ou para o Azure Managed HSM.

Nota

A única exceção é se uma chave for criada com uma política de liberação de chave que restrinja as exportações a enclaves de computação confidenciais em que você confia para lidar com o material da chave. Essas operações-chave seguras não são exportações de uso geral da chave.

Há vários cenários que exigem a migração de cargas de trabalho principais:

• Alternar limites de segurança, como ao alternar entre assinaturas, grupos de recursos ou proprietários.
• Mudança de regiões devido a limites de conformidade ou riscos em uma determinada região.
• Mudar para uma nova oferta, como do Azure Key Vault para o Azure Managed HSM, que oferece maior segurança, isolamento e conformidade do que o Key Vault Premium.

Abaixo, discutimos vários métodos para migrar cargas de trabalho para usar uma nova chave, seja para um novo cofre ou para um novo HSM gerenciado.

Serviços do Azure usando chave gerenciada pelo cliente

Para a maioria das cargas de trabalho que usam chaves no Cofre de Chaves, a maneira mais eficaz de migrar uma chave para um novo local (um novo HSM gerenciado ou um novo cofre de chaves em uma assinatura ou região diferente) é:

1. Crie uma nova chave no novo cofre ou HSM gerenciado.
2. Certifique-se de que a carga de trabalho tenha acesso a essa nova chave, adicionando a identidade da carga de trabalho à função apropriada no Cofre de Chaves do Azure ou no HSM Gerenciado do Azure.
3. Atualize a carga de trabalho para usar a nova chave como a chave de criptografia gerenciada pelo cliente.
4. Mantenha a chave antiga até não desejar mais os backups dos dados da carga de trabalho que eles protegeram originalmente.

Por exemplo, para atualizar o Armazenamento do Azure para usar uma nova chave, siga as instruções em Configurar chaves gerenciadas pelo cliente para uma conta de armazenamento existente - Armazenamento do Azure. A chave gerenciada pelo cliente anterior é necessária até que o armazenamento seja atualizado para a nova chave; depois que o armazenamento tiver sido atualizado com êxito para a nova chave, a chave anterior não será mais necessária.

Aplicativos personalizados e criptografia do lado do cliente

Para criptografia do lado do cliente ou aplicativos personalizados que você criou, que criptografam dados diretamente usando as chaves no Cofre de Chaves, o processo é diferente:

1. Crie o novo cofre de chaves ou HSM gerenciado e crie uma nova chave de criptografia de chave (KEK).
2. Criptografe novamente todas as chaves ou dados que foram criptografados pela chave antiga usando a nova chave. (Se os dados foram diretamente criptografados pela chave no cofre de chaves, isso pode levar algum tempo, pois todos os dados devem ser lidos, descriptografados e criptografados com a nova chave. Use a criptografia de envelope sempre que possível para tornar essas rotações de chave mais rápidas).

Ao criptografar novamente os dados, recomendamos uma hierarquia de chaves de três níveis, o que facilitará a rotação do KEK no futuro: 1. A chave de criptografia de chave no Cofre de Chaves do Azure ou no HSM gerenciado 1. A Chave Primária 1. Chaves de criptografia de dados derivadas da chave primária

1. Verifique os dados após a migração (e antes da exclusão).
2. Não exclua o cofre de chaves/chaves antigo até não desejar mais os backups dos dados associados a ele.

Migrando chaves de locatário na Proteção de Informações do Azure

A migração de chaves de locatário na Proteção de Informações do Azure é conhecida como "rechaveamento" ou "rolagem de chave". Gerenciado pelo cliente - As operações do ciclo de vida da chave do locatário AIP têm instruções detalhadas sobre como executar essa operação.

Não é seguro excluir a chave de locatário antiga até que você não precise mais do conteúdo ou dos documentos protegidos com a chave de locatário antiga. Se você quiser migrar documentos para serem protegidos pela nova chave, você deve:

1. Remova a proteção do documento protegido com a chave de locatário antiga.
2. Aplique a proteção novamente, que usará a nova chave de locatário.

Próximos passos

• Sobre o Azure Key Vault
• Sobre o Azure Key Vault Managed HSM?
• O gerenciamento de chaves é o Azure