Gerenciar chaves gerenciadas pelo cliente para o Azure Elastic SAN
Todos os dados gravados em um volume SAN elástico são automaticamente criptografados em repouso com uma chave de criptografia de dados (DEK). As DEKs do Azure são sempre gerenciadas por plataforma (gerenciadas pela Microsoft). O Azure usa criptografia de envelope, também conhecida como encapsulamento, que envolve o uso de uma chave de criptografia de chave (KEK) para criptografar a DEK. Por padrão, o KEK é gerenciado pela plataforma, mas você pode criar e gerenciar seu próprio KEK. As chaves gerenciadas pelo cliente oferecem maior flexibilidade para gerenciar controles de acesso e podem ajudá-lo a atender aos requisitos de segurança e conformidade da sua organização.
Você controla todos os aspetos de suas chaves de criptografia de chave, incluindo:
- Qual chave é usada
- Onde as chaves estão armazenadas
- Como as teclas são giradas
- A capacidade de alternar entre chaves gerenciadas pelo cliente e gerenciadas pela plataforma
Este artigo explica como gerenciar seus KEKs gerenciados pelo cliente.
Nota
A criptografia de envelope permite alterar a configuração da chave sem afetar os volumes do Elastic SAN. Quando você faz uma alteração, o serviço SAN elástico criptografa novamente as chaves de criptografia de dados com as novas chaves. A proteção da chave de criptografia de dados muda, mas os dados nos volumes do Elastic SAN permanecem sempre criptografados. Não é necessária qualquer ação adicional da sua parte para assegurar que os dados estão protegidos. Alterar a configuração da chave não afeta o desempenho e não há tempo de inatividade associado a essa alteração.
Limitações
A lista a seguir contém as regiões em que a SAN elástica está disponível no momento e quais regiões oferecem suporte ao ZRS (armazenamento com redundância de zona) e ao LRS (armazenamento com redundância local) ou apenas ao LRS:
- Leste da Austrália - LRS
- Sul do Brasil - LRS
- Canadá Central - LRS
- Centro dos EUA - LRS
- Ásia Oriental - LRS
- Leste dos EUA - LRS
- Leste dos EUA 2 - LRS
- França Central - LRS & ZRS
- Alemanha Centro-Oeste - LRS
- Índia Central - LRS
- Leste do Japão - LRS
- Coreia Central - LRS
- Norte da Europa - LRS & ZRS
- Leste da Noruega - LRS
- África do Sul Norte - LRS
- Centro-Sul dos EUA - LRS
- Sudeste Asiático - LRS
- Suécia Central - LRS
- Suíça Norte - LRS
- Norte dos Emirados Árabes Unidos - LRS
- Sul do Reino Unido - LRS
- Europa Ocidental - LRS & ZRS
- Oeste dos EUA 2 - LRS & ZRS
- Oeste dos EUA 3 - LRS
O Elastic SAN também está disponível nas seguintes regiões, mas sem suporte à zona de disponibilidade:
- Leste do Canadá - LRS
- Oeste do Japão - LRS
- Centro-Norte dos EUA - LRS
Para habilitar essas regiões, execute o seguinte comando para registrar o sinalizador de recurso necessário:
Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"
Alterar a chave
Você pode alterar a chave que está usando para a criptografia do Azure Elastic SAN a qualquer momento.
Para alterar a chave com o PowerShell, chame Update-AzElasticSanVolumeGroup e forneça o novo nome e a versão da chave. Se a nova chave estiver em um cofre de chaves diferente, você também deverá atualizar o URI do cofre de chaves.
Se a nova chave estiver em um cofre de chaves diferente, você deverá conceder à identidade gerenciada acesso à chave no novo cofre. Se você optar pela atualização manual da versão da chave, também precisará atualizar o URI do cofre de chaves.
Atualizar a versão principal
Seguir as práticas recomendadas de criptografia significa girar a chave que está protegendo seu grupo de volumes do Elastic SAN em um cronograma regular, normalmente pelo menos a cada dois anos. O Azure Elastic SAN nunca modifica a chave no cofre de chaves, mas você pode configurar uma política de rotação de chaves para girar a chave de acordo com seus requisitos de conformidade. Para obter mais informações, consulte Configurar a rotação automática de chaves criptográficas no Cofre de Chaves do Azure.
Depois que a chave for girada no cofre de chaves, a configuração KEK gerenciada pelo cliente para seu grupo de volumes do Elastic SAN deve ser atualizada para usar a nova versão da chave. As chaves gerenciadas pelo cliente suportam a atualização automática e manual da versão KEK. Você pode decidir qual abordagem deseja usar ao configurar inicialmente chaves gerenciadas pelo cliente ou ao atualizar sua configuração.
Quando você modifica a chave ou a versão da chave, a proteção da chave de criptografia raiz muda, mas os dados no grupo de volumes do Azure Elastic SAN permanecem sempre criptografados. Não é necessária nenhuma ação extra da sua parte para garantir que os seus dados estão protegidos. Girar a versão principal não afeta o desempenho e não há tempo de inatividade associado à rotação da versão principal.
Importante
Para girar uma chave, crie uma nova versão da chave no cofre de chaves de acordo com seus requisitos de conformidade. O Azure Elastic SAN não lida com a rotação de chaves, portanto, você precisará gerenciar a rotação da chave no cofre de chaves.
Quando você gira a chave usada para chaves gerenciadas pelo cliente, essa ação não é registrada atualmente nos logs do Azure Monitor para a SAN Elástica do Azure.
Atualizar automaticamente a versão da chave
Para atualizar automaticamente uma chave gerenciada pelo cliente quando uma nova versão estiver disponível, omita a versão da chave ao habilitar a criptografia com chaves gerenciadas pelo cliente para o grupo de volumes Elastic SAN. Se a versão da chave for omitida, o Azure Elastic SAN verificará o cofre de chaves diariamente em busca de uma nova versão de uma chave gerenciada pelo cliente. Se uma nova versão de chave estiver disponível, o Azure Elastic SAN usará automaticamente a versão mais recente da chave.
O Azure Elastic SAN verifica o cofre de chaves em busca de uma nova versão de chave apenas uma vez por dia. Quando rodar uma chave, certifique-se de que aguarda 24 horas antes de desativar a versão mais antiga.
Se o grupo de volumes do Elastic SAN tiver sido configurado anteriormente para atualização manual da versão da chave e você quiser alterá-lo para atualizá-lo automaticamente, talvez seja necessário alterar explicitamente a versão da chave para uma cadeia de caracteres vazia. Para obter detalhes sobre como fazer isso, consulte Rotação manual da versão da chave.
Atualizar manualmente a versão da chave
Para usar uma versão específica de uma chave para a criptografia do Azure Elastic SAN, especifique essa versão de chave ao habilitar a criptografia com chaves gerenciadas pelo cliente para o grupo de volumes Elastic SAN. Se você especificar a versão da chave, o Azure Elastic SAN usará essa versão para criptografia até que você atualize manualmente a versão da chave.
Quando a versão da chave é especificada explicitamente, você deve atualizar manualmente o grupo de volumes do Elastic SAN para usar o URI da nova versão da chave quando uma nova versão for criada. Para saber como atualizar o grupo de volumes do Elastic SAN para usar uma nova versão da chave, consulte Configurar a criptografia com chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure.
Revogar o acesso a um grupo de volumes que usa chaves gerenciadas pelo cliente
Para revogar temporariamente o acesso a um grupo de volumes de SAN elástica que esteja usando chaves gerenciadas pelo cliente, desative a chave que está sendo usada atualmente no cofre de chaves. Não há impacto no desempenho ou tempo de inatividade associado à desativação e reativação da chave.
Depois que a chave for desabilitada, os clientes não poderão chamar operações que leiam ou gravem em volumes no grupo de volumes ou em seus metadados.
Atenção
Quando você desabilita a chave no cofre de chaves, os dados em seu grupo de volumes do Azure Elastic SAN permanecem criptografados, mas ficam inacessíveis até que você reative a chave.
Para revogar uma chave gerenciada pelo cliente com o PowerShell, chame o comando Update-AzKeyVaultKey , conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado entre colchetes por seus próprios valores para definir as variáveis ou use as variáveis definidas nos exemplos anteriores.
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
Volte para chaves gerenciadas pela plataforma
Você pode alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela plataforma a qualquer momento, usando o módulo do Azure PowerShell ou a CLI do Azure.
Para alternar de chaves gerenciadas pelo cliente de volta para chaves gerenciadas pela plataforma com o PowerShell, chame Update-AzElasticSanVolumeGroup com a -Encryption opção, conforme mostrado no exemplo a seguir. Lembre-se de substituir os valores de espaço reservado por seus próprios valores e usar as variáveis definidas nos exemplos anteriores.
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey