Перенос ключевых рабочих нагрузок

  • Статья

Azure Key Vault и управляемый модуль HSM Azure не позволяют экспортировать ключи, чтобы защитить материал ключа и убедиться, что свойства HSM ключей не могут быть изменены.

Если вы хотите, чтобы ключ был высокопортабельным, лучше всего создать его в поддерживаемом HSM и импортировать в Azure Key Vault или Управляемый модуль HSM Azure.

Примечание

Единственным исключением является создание ключа с политикой выпуска ключа , ограничивающей экспорт конфиденциальными анклавами вычислений, которым вы доверяете для обработки материала ключа. Такие операции с защищенными ключами не являются экспортом ключа общего назначения.

Существует несколько сценариев, требующих миграции ключевых рабочих нагрузок:

  • Переключение границ безопасности, например при переключении между подписками, группами ресурсов или владельцами.
  • Перемещение регионов из-за границ соответствия требованиям или рисков в определенном регионе.
  • Переход на новое предложение, например с Azure Key Vault на управляемый модуль HSM Azure, который обеспечивает более высокую безопасность, изоляцию и соответствие требованиям, чем Key Vault Premium.

Ниже мы рассмотрим несколько методов переноса рабочих нагрузок для использования нового ключа либо в новое хранилище, либо в новый управляемый модуль HSM.

Службы Azure, использующие ключ, управляемый клиентом

Для большинства рабочих нагрузок, использующих ключи в Key Vault, наиболее эффективным способом переноса ключа в новое расположение (новое управляемое устройство HSM или новое хранилище ключей в другой подписке или регионе) является следующее:

  1. Создайте новый ключ в новом хранилище или управляемом устройстве HSM.
  2. Убедитесь, что рабочая нагрузка имеет доступ к этому новому ключу, добавив удостоверение рабочей нагрузки в соответствующую роль в Azure Key Vault или Управляемом устройстве HSM Azure.
  3. Обновите рабочую нагрузку, чтобы использовать новый ключ в качестве ключа шифрования, управляемого клиентом.
  4. Сохраняйте старый ключ до тех пор, пока вам больше не нужны резервные копии данных рабочей нагрузки, которые они изначально защищали.

Например, чтобы обновить службу хранилища Azure для использования нового ключа, следуйте инструкциям в разделе Настройка управляемых клиентом ключей для существующей учетной записи хранения — служба хранилища Azure. Предыдущий ключ, управляемый клиентом, необходим до тех пор, пока хранилище не будет обновлено до нового ключа; После успешного обновления хранилища до нового ключа предыдущий ключ больше не требуется.

Пользовательские приложения и шифрование на стороне клиента

Для шифрования на стороне клиента или пользовательских приложений, которые напрямую шифруют данные с помощью ключей в Key Vault, процесс отличается:

  1. Создайте новое хранилище ключей или управляемый модуль HSM, а также новый ключ шифрования ключей (KEK).
  2. Повторно зашифруйте все ключи или данные, зашифрованные старым ключом, с помощью нового ключа. (Если данные были зашифрованы напрямую ключом в хранилище ключей, это может занять некоторое время, так как все данные должны быть прочитаны, расшифрованы и зашифрованы с помощью нового ключа. Используйте шифрование конвертов , где это возможно, чтобы ускорить такую смену ключей).

При повторном шифровании данных рекомендуется использовать трехуровневую иерархию ключей, что облегчит смену KEK в будущем: 1. Ключ шифрования ключей в Azure Key Vault или Управляемый модуль HSM 1. Первичный ключ 1. Ключи шифрования данных, производные от первичного ключа

  1. Проверьте данные после миграции (и перед удалением).
  2. Не удаляйте старое хранилище ключей или ключей, пока вам больше не нужны резервные копии данных, связанных с ним.

Перенос ключей клиента в Azure Information Protection

Перенос ключей клиента в Azure Information Protection называется повторное создание ключа или смена ключа. Управляемые клиентом операции жизненного цикла ключа клиента AIP содержат подробные инструкции по выполнению этой операции.

Удалить старый ключ клиента можно только после того, как содержимое или документы будут защищены старым ключом клиента. Если вы хотите перенести документы для защиты с помощью нового ключа, необходимо:

  1. Удалите защиту документа, защищенного старым ключом клиента.
  2. Снова примените защиту, которая будет использовать новый ключ клиента.

Дальнейшие действия