Управление ключами, управляемыми клиентом, для Azure Elastic SAN

Все данные, записанные в том Elastic SAN, автоматически шифруются неактивных данных с помощью ключа шифрования данных (DEK). Пакеты DEK Azure всегда управляются платформой (управляемыми корпорацией Майкрософт). Azure использует шифрование конвертов, которое также называется оболочкой, которая включает использование ключа шифрования ключей (KEK) для шифрования DEK. По умолчанию KEK управляется платформой, но вы можете создавать собственные KEK и управлять ими. Управляемые клиентом ключи обеспечивают большую гибкость управления доступом и могут помочь вам в соответствии с требованиями к безопасности и соответствию требованиям организации.

Вы управляете всеми аспектами ключей шифрования ключей, включая:

• Какой ключ используется
• Где хранятся ключи
• Поворот ключей
• Возможность переключаться между ключами, управляемыми клиентом и платформой

В этой статье объясняется, как управлять управляемыми клиентом KEK.

Примечание.

Шифрование конверта позволяет изменить конфигурацию ключа без влияния на тома Elastic SAN. При внесении изменений служба Elastic SAN повторно шифрует ключи шифрования данных новыми ключами. Защита ключа шифрования данных изменяется, но данные в томах Elastic SAN всегда шифруются. С вашей стороны не требуется никаких дополнительных действий для обеспечения защиты ваших данных. Изменение конфигурации ключа не влияет на производительность и отсутствие простоя, связанного с таким изменением.

Ограничения

В следующем списке содержатся регионы, в которых сейчас доступна эластичная san, и в которых регионы поддерживают хранилище, избыточное между зонами (ZRS), так и локально избыточное хранилище (LRS) или только LRS:

• Северная Африка - LRS
• Восточная Азия - LRS
• Юго-Восточная Азия - LRS
• Южная Бразилия - LRS
• Центральная Канада - LRS
• Центральная Франция - LRS и ZRS
• Западная Германия - LRS
• Восточная Австралия - LRS
• Северная Европа - LRS и ZRS
• Западная Европа - LRS и ZRS
• Южная Великобритания - LRS
• Восточная Япония - LRS
• Центральная Корея - LRS
• Центральная часть США
• Восточная часть США - LRS
• Южная часть США - LRS
• Восточная часть США 2 - LRS
• Западная часть США 2 - LRS и ZRS
• Западная часть США 3 - LRS
• Центральная Швеция - LRS
• Северная Швейцария - LRS

Изменение ключа

Вы можете изменить ключ, который вы используете для шифрования Azure Elastic SAN в любое время.

PowerShell

Чтобы изменить ключ с помощью PowerShell, вызовите Update-AzElasticSanVolumeGroup и укажите новое имя ключа и версию. Если новый ключ находится в другом хранилище ключей, необходимо также обновить URI хранилища ключей.

Azure CLI

Чтобы изменить ключ с помощью Azure CLI, вызовите az elastic-san volume-group update и укажите новое имя ключа и версию. Если новый ключ находится в другом хранилище ключей, необходимо также обновить URI хранилища ключей.

Если новый ключ находится в другом хранилище ключей, необходимо предоставить управляемому удостоверению доступ к ключу в новом хранилище. Если вы решили вручную обновить версию ключа, необходимо также обновить универсальный код ресурса (URI) хранилища ключей.

Обновление версии ключа

Следуя рекомендациям по шифрованию, необходимо повернуть ключ, который защищает группу томов Elastic SAN по регулярному расписанию, как правило, каждые два года. Azure Elastic SAN никогда не изменяет ключ в хранилище ключей, но вы можете настроить политику поворота ключей для смены ключа в соответствии с требованиями соответствия требованиям. Дополнительные сведения см. в статье "Настройка автоматического поворота криптографического ключа" в Azure Key Vault.

После смены ключа в хранилище ключей необходимо обновить конфигурацию управляемого клиентом KEK для группы томов Elastic SAN, чтобы использовать новую версию ключа. Ключи, управляемые клиентом, поддерживают автоматическое и ручное обновление версии KEK. Вы можете решить, какой подход вы хотите использовать при первоначальной настройке ключей, управляемых клиентом, или при обновлении конфигурации.

При изменении ключа или версии ключа защита корневого ключа шифрования изменяется, но данные в группе томов Azure Elastic SAN всегда шифруются. Для защиты данных нет дополнительных действий, необходимых для вашей части. Смена ключевой версии не влияет на производительность, и время простоя, связанное с поворотом версии ключа, не влияет.

Важно!

Чтобы повернуть ключ, создайте новую версию ключа в хранилище ключей в соответствии с вашими требованиями к соответствию. Azure Elastic SAN не обрабатывает поворот ключа, поэтому вам потребуется управлять поворотом ключа в хранилище ключей.

При смене ключа, используемого для ключей, управляемых клиентом, это действие в настоящее время не регистрируется в журналах Azure Monitor для Azure Elastic SAN.

Автоматическое обновление версии ключа

Чтобы автоматически обновить управляемый клиентом ключ при наличии новой версии, опустите версию ключа при включении шифрования с помощью ключей, управляемых клиентом, для группы томов Elastic SAN. Если версия ключа опущена, azure Elastic SAN проверка ежедневно хранилище ключей для новой версии управляемого клиентом ключа. Если доступна новая версия ключа, Azure Elastic SAN автоматически использует последнюю версию ключа.

Azure Elastic SAN проверка хранилище ключей для новой версии ключа только один раз в день. После смены ключа подождите 24 часа, прежде чем отключить старую версию.

Если группа томов Elastic SAN ранее была настроена для ручного обновления версии ключа и вы хотите автоматически изменить ее для автоматического обновления, может потребоваться явно изменить версию ключа на пустую строку. Дополнительные сведения о том, как это сделать, см. в разделе "Смена версий ключей вручную".

Обновление версии ключа вручную

Чтобы использовать определенную версию ключа для шифрования Azure Elastic SAN, укажите эту версию ключа при включении шифрования с помощью ключей, управляемых клиентом, для группы томов Elastic SAN. Если указать версию ключа, azure Elastic SAN использует эту версию для шифрования до тех пор, пока не обновите версию ключа вручную.

При явном указании версии ключа необходимо вручную обновить группу томов Elastic SAN, чтобы использовать URI новой версии ключа при создании новой версии. Сведения о том, как обновить группу томов Elastic SAN для использования новой версии ключа, см. в статье Настройка шифрования с помощью ключей, управляемых клиентом, хранящихся в Azure Key Vault.

Отмена доступа к группе томов, использующая ключи, управляемые клиентом

Чтобы временно отменить доступ к группе томов Elastic SAN, использующую ключи, управляемые клиентом, отключите ключ, используемый в настоящее время в хранилище ключей. Нет влияния на производительность или простоя, связанного с отключением и повторной настройкой ключа.

После отключения ключа клиенты не могут вызывать операции, которые считываются из томов или записываются в тома в группе томов или их метаданных.

Внимание

При отключении ключа в хранилище ключей данные в группе томов Azure Elastic SAN остаются зашифрованными, но они становятся недоступными до повторной регистрации ключа.

PowerShell

Чтобы отозвать управляемый клиентом ключ с помощью PowerShell, вызовите команду Update-AzKeyVaultKey , как показано в следующем примере. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями, чтобы определить переменные или использовать переменные, определенные в предыдущих примерах.

$KvName  = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled

Azure CLI

Чтобы отозвать управляемый клиентом ключ с помощью Azure CLI, вызовите команду az keyvault key set-attributes , как показано в следующем примере. Не забудьте заменить значения заполнителей собственными значениями для определения переменных или использовать переменные, определенные в предыдущих примерах.

KvName="key-vault-name"
KeyName="key-name"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $KvName \
    --name $KeyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $KvName \
    --name $KeyName \
    --enabled $enabled

Переключение на ключи, управляемые платформой

Ключи, управляемые клиентом, можно переключаться на ключи, управляемые платформой, в любое время с помощью модуля Azure PowerShell или Azure CLI.

PowerShell

Чтобы переключиться с ключей, управляемых клиентом, обратно на управляемые платформой ключи с помощью PowerShell, вызовите Update-AzElasticSanVolumeGroup с -Encryption параметром, как показано в следующем примере. Не забудьте заменить значения заполнителей собственными значениями и использовать переменные, определенные в предыдущих примерах.

Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey 

Azure CLI

Чтобы переключиться с управляемых клиентом ключей обратно на ключи, управляемые платформой, с помощью Azure CLI, вызовите az elastic-san volume-group update и задайте --encryption для параметра значение EncryptionAtRestWithPlatformKey, как показано в следующем примере. Замените весь текст заполнителя собственными значениями, а затем выполните команду:

az elastic-san volume-group update \
    --elastic-san-name <ElasticSanName> \
    --name <ElasticSanVolumeGroupName> \
    --resource-group <ResourceGroupName> \
    --encryption EncryptionAtRestWithPlatformKey

См. также

• Настройка управляемых клиентом ключей для Azure Elastic SAN с помощью Azure Key Vault