Udostępnij przez

Jak migrować kluczowe obciążenia

Usługa Azure Key Vault i zarządzany moduł HSM platformy Azure nie zezwalają na eksportowanie kluczy, aby chronić materiał klucza i upewnić się, że nie można zmienić właściwości modułu HSM kluczy.

Jeśli chcesz, aby klucz był wysoce przenośny, najlepiej utworzyć go w obsługiwanym module HSM i zaimportować go do usługi Azure Key Vault lub zarządzanego modułu HSM platformy Azure.

Note

Jedynym wyjątkiem od reguły braku eksportu jest utworzenie klucza z określonymi zasadami wydania klucza. Te zasady umożliwiają eksportowanie klucza tylko do zaufanych poufnych środowisk obliczeniowych (bezpiecznych enklaw), które jawnie definiujesz. Ta ograniczona funkcja eksportowania jest przeznaczona dla określonych scenariuszy bezpiecznego przetwarzania i nie jest taka sama jak eksport klucza ogólnego przeznaczenia.

Istnieje kilka scenariuszy, które wymagają migracji kluczowych obciążeń:

  • Przełączanie granic zabezpieczeń, takich jak przełączanie się między subskrypcjami, grupami zasobów lub właścicielami.
  • Przenoszenie regionów ze względu na granice zgodności lub zagrożenia w danym regionie.
  • Zmieniasz się na nową ofertę, na przykład z usługi Azure Key Vault do zarządzanego modułu HSM platformy Azure, co zapewnia większe bezpieczeństwo, izolację i zgodność niż usługa Key Vault Premium.

Poniżej omówiono kilka metod przenoszenia zadaniów w celu użycia nowego klucza, do nowego magazynu lub do nowego zarządzanego zasobu HSM.

Usługi platformy Azure korzystające z klucza zarządzanego przez klienta

W przypadku większości obciążeń korzystających z kluczy w usłudze Key Vault najbardziej efektywnym sposobem migracji klucza do nowej lokalizacji (nowy zarządzany moduł HSM lub nowy magazyn kluczy w innej subskrypcji lub regionie) jest:

  1. Utwórz nowy klucz w nowym magazynie kluczy lub zarządzanym module HSM.
  2. Umożliw dostęp obciążenia do nowego klucza, przypisując tożsamość zarządzaną obciążenia do odpowiedniej roli RBAC platformy Azure w usłudze Azure Key Vault lub do odpowiedniej lokalnej roli RBAC zarządzanego modułu HSM platformy Azure.
  3. Zaktualizuj obciążenie, aby użyć nowego klucza jako klucza szyfrowania zarządzanego przez klienta.
  4. Zachowaj stary klucz, dopóki nie będziesz już potrzebować kopii zapasowych danych obciążenia, które ten klucz pierwotnie chronił.

Przykład: migrowanie usługi Azure Storage do nowego klucza zarządzanego przez klienta

Jeśli używasz kluczy zarządzanych przez klienta w usłudze Azure Storage, możesz przeprowadzić migrację do nowego klucza, wykonując następujące kroki:

  1. Utwórz nowy klucz w docelowym magazynie kluczy lub zarządzanym module HSM.
  2. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie kluczy zarządzanych przez klienta dla istniejącego konta magazynu , aby zaktualizować konto magazynu w celu użycia nowego klucza.
  3. Utrzymuj dostępność poprzedniego klucza klienta do momentu, gdy usługa magazynowa w pełni przełączy się na nowy klucz.
  4. Po potwierdzeniu, że wszystkie operacje działają poprawnie z nowym kluczem, można bezpiecznie wycofać poprzedni klucz (ale nie usuwać go, jeśli chcesz uzyskać dostęp do starszych kopii zapasowych).

Ten wzorzec dotyczy wielu usług platformy Azure, które obsługują klucze zarządzane przez klienta.

Aplikacje niestandardowe i szyfrowanie po stronie klienta

W przypadku szyfrowania po stronie klienta lub aplikacji niestandardowych, które bezpośrednio szyfrują dane przy użyciu kluczy w usłudze Key Vault, proces jest inny:

  1. Utwórz nowy magazyn kluczy lub zarządzany moduł HSM i utwórz nowy klucz szyfrowania klucza (KEK).
  2. Ponownie zaszyfruj wszystkie klucze lub dane zaszyfrowane za pomocą starego klucza przy użyciu nowego klucza. Jeśli dane są szyfrowane bezpośrednio za pomocą klucza w magazynie kluczy, może to zająć trochę czasu, ponieważ wszystkie dane muszą być odczytane, odszyfrowane i ponownie zaszyfrowane nowym kluczem. Użyj szyfrowania kopert, jeśli to możliwe, aby przyspieszyć takie rotacje kluczy.

Podczas ponownego szyfrowania danych zalecamy hierarchię klucza trzy-poziomowego, co ułatwi rotację klucza KEK w przyszłości: 1. Klucz szyfrowania kluczy w usłudze Azure Key Vault lub zarządzany moduł HSM 1. Klucz podstawowy 1. Klucze szyfrowania danych pochodzące z klucza podstawowego

  1. Sprawdź dane po migracji (i przed usunięciem).
  2. Nie usuwaj starego klucza/magazynu kluczy, dopóki nie chcesz już tworzyć kopii zapasowych danych skojarzonych z nim.

Migrowanie kluczy dzierżawy w usłudze Azure Information Protection

Migrowanie kluczy dzierżawy w usłudze Azure Information Protection jest nazywane "ponownym kluczowaniem" lub "przekształcaniem klucza". Zarządzane przez klienta — operacje cyklu życia klucza dzierżawy usługi AIP zawiera szczegółowe instrukcje dotyczące wykonywania tej operacji.

Nie można bezpiecznie usunąć starego klucza dzierżawy, dopóki nie potrzebujesz już zawartości ani dokumentów chronionych przy użyciu starego klucza dzierżawy. Jeśli chcesz migrować dokumenty, które mają być chronione przez nowy klucz, musisz:

  1. Usuń ochronę z dokumentu chronionego za pomocą starego klucza dzierżawy.
  2. Ponownie zastosuj ochronę, używając nowego klucza dzierżawy.

Przechodzenie na platformę HSM 2

Usługa Azure Key Vault zaktualizowała swoją platformę HSM, aby zapewnić lepsze zabezpieczenia dzięki weryfikacji standardu FIPS 140 Level 3. Wszystkie nowe klucze i wersje kluczy są teraz tworzone przy użyciu platformy HSM Platform 2. Możesz sprawdzić, która platforma HSM chroni klucz, sprawdzając jego atrybut hsmPlatform .

Aby dokonać migracji obciążeń do kluczy chronionych przez HSM Platform 2:

  1. Tworzenie nowych kluczy na platformie HSM 2

    • Jeśli skonfigurowano zasady rotacji kluczy, nowa wersja klucza zostanie automatycznie utworzona przy następnej zaplanowanej rotacji.
    • Jeśli nie skonfigurowano żadnych zasad rotacji, ręcznie utwórz nową wersję klucza, która będzie automatycznie używać platformy HSM Platform 2.

  2. Rotacyjne klucze dla różnych usług

Korzyści wynikające z przejścia na platformę HSM 2 obejmują ulepszoną zgodność z wymogami bezpieczeństwa i weryfikacją na poziomie 3 FIPS 140. Ponieważ wszystkie nowe klucze są tworzone automatycznie na najnowszej platformie, to przejście dotyczy głównie aktualizowania istniejących obciążeń w celu używania nowszych wersji kluczy.

Zarządzanie kluczami klienta dla platformy Microsoft 365

W przypadku organizacji przechodzących z platformy HSM 1 zarządzanie kluczami klientów ma kluczowe znaczenie. Platforma Microsoft 365 udostępnia niezawodne narzędzia i wskazówki dotyczące rolowania lub rotacji kluczy głównych i kluczy dostępności zarządzanych przez klienta. Poniżej przedstawiono kluczowe zasoby ułatwiające zarządzanie tym procesem:

Najważniejsze zagadnienia dotyczące wycofywania platformy HSM 1

Ponieważ platforma HSM 1 została wycofana, upewnij się, że:

  1. Obracaj lub rotuj klucze główne zarządzane przez klienta zgodnie z potrzebami w celu zachowania zgodności i bezpieczeństwa.
  2. Zaktualizuj zasady szyfrowania danych (DEPs), aby odwoływać się do nowych kluczy lub wersji kluczy.
  3. Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zarządzania kluczami, w tym minimalizacją uprawnień i monitorowaniem użycia kluczy.

Aby uzyskać więcej informacji, zapoznaj się z dokumentacją klucza klienta usługi Microsoft Purview.

Dalsze kroki

  • Last updated on