Migrieren von Schlüsselworkloads

  • Artikel

Azure Key Vault und Azure Managed HSM lassen den Export von Schlüsseln nicht zu, um das Schlüsselmaterial zu schützen und sicherzustellen, dass die HSM-Eigenschaften der Schlüssel nicht geändert werden können.

Wenn ein Schlüssel hochgradig portabel sein soll, erstellen Sie ihn am besten in einem unterstützten HSM und importieren ihn in Azure Key Vault oder Azure Managed HSM.

Hinweis

Die einzige Ausnahme ist, wenn ein Schlüssel mit einer Schlüsselfreigaberichtlinie erstellt wird, die Exporte auf vertrauliche Compute-Enklaven beschränkt, denen Sie vertrauen, um das Schlüsselmaterial zu verarbeiten. Solche Vorgänge mit sicheren Schlüsseln sind keine allgemeinen Exporte des Schlüssels.

Es gibt mehrere Szenarien, in denen die Migration von Schlüsselworkloads erforderlich ist:

  • Wechseln von Sicherheitsgrenzen, z. B. beim Wechsel zwischen Abonnements, Ressourcengruppen oder Besitzern.
  • Verschieben von Regionen aufgrund von Compliancegrenzen oder Risiken in einer bestimmten Region.
  • Der Wechsel zu einem neuen Angebot, z. B. von Azure Key Vault zu Azure Managed HSM, das bessere Sicherheit, Isolation und Compliance als Key Vault Premium bietet.

Im Folgenden werden mehrere Methoden zum Migrieren von Workloads zur Verwendung eines neuen Schlüssels erläutert, entweder in einen neuen Tresor oder in ein neues verwaltetes HSM.

Azure-Dienste mit kundenseitig verwaltetem Schlüssel

Für die meisten Workloads, die Schlüssel in Key Vault verwenden, besteht die effektivste Möglichkeit zum Migrieren eines Schlüssels an einen neuen Speicherort (ein neues verwaltetes HSM oder einen neuen Schlüsseltresor in einem anderen Abonnement oder einer anderen Region) in Folgendem:

  1. Erstellen Sie einen neuen Schlüssel im neuen Tresor oder im neuen verwalteten HSM.
  2. Stellen Sie sicher, dass die Workload Zugriff auf diesen neuen Schlüssel hat, indem Sie die Identität der Workload der entsprechenden Rolle in Azure Key Vault oder Azure Managed HSM hinzufügen.
  3. Aktualisieren Sie die Workload so, dass sie den neuen Schlüssel als kundenseitig verwalteten Verschlüsselungsschlüssel verwendet.
  4. Bewahren Sie den alten Schlüssel so lange auf, bis die Sicherungen der Workloaddaten, die ursprünglich von dem Schlüssel geschützt wurden, nicht mehr benötigen.

Um beispielsweise Azure Storage auf die Verwendung eines neuen Schlüssels zu aktualisieren, befolgen Sie die Anweisungen unter Konfigurieren kundenseitig verwalteter Schlüssel für ein vorhandenes Speicherkonto – Azure Storage. Der vorherige kundenseitig verwaltete Schlüssel wird benötigt, bis Storage auf den neuen Schlüssel aktualisiert wurde. Nachdem Storage erfolgreich auf den neuen Schlüssel aktualisiert wurde, wird der vorherige Schlüssel nicht mehr benötigt.

Benutzerdefinierte Anwendungen und clientseitige Verschlüsselung

Bei clientseitiger Verschlüsselung oder bei von Ihnen erstellten benutzerdefinierten Anwendungen, die Daten direkt mit den Schlüsseln in Key Vault verschlüsseln, weicht der Prozess ab:

  1. Erstellen Sie den neuen Schlüsseltresor oder das neue verwaltete HSM, und erstellen Sie einen neuen Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK).
  2. Verschlüsseln Sie alle Schlüssel oder Daten, die mit dem alten Schlüssel verschlüsselt wurden, mithilfe des neuen Schlüssels erneut. (Wenn Daten direkt mit dem Schlüssel im Schlüsseltresor verschlüsselt wurden, kann dies einige Zeit dauern, da alle Daten gelesen, entschlüsselt und mit dem neuen Schlüssel verschlüsselt werden müssen. Verwenden Sie nach Möglichkeit Umschlagverschlüsselung, um solche Schlüsselrotationen zu beschleunigen.)

Beim erneuten Verschlüsseln der Daten wird eine dreistufige Schlüsselhierarchie empfohlen, die die KEK-Rotation in Zukunft vereinfacht: 1. Der Schlüsselverschlüsselungsschlüssel in Azure Key Vault oder dem verwalteten HSM. 2. Der Primärschlüssel. 3. Vom Primärschlüssel abgeleitete Datenverschlüsselungsschlüssel.

  1. Überprüfen Sie die Daten nach der Migration (und vor dem Löschen).
  2. Löschen Sie den alten Schlüssel/Schlüsseltresor erst, wenn Sie die Sicherungen der zugehörigen Daten nicht mehr benötigen.

Migrieren von Mandantenschlüsseln in Azure Information Protection

Das Migrieren von Mandantenschlüsseln in Azure Information Protection wird als „Erstellung neuer Schlüssel“ (rekeying) oder „Rollover des Schlüssels“ (rolling your key) bezeichnet. Kundenseitig verwaltet: Lebenszyklusvorgänge für AIP-Mandantenschlüssel enthält ausführliche Anweisungen zum Ausführen dieses Vorgangs.

Der alte Mandantenschlüssel kann erst dann sicher gelöscht werden, nachdem Sie die Inhalte oder Dokumente nicht mehr benötigen, die mit dem alten Mandantenschlüssel geschützt sind. Wenn Sie Dokumente migrieren möchten, damit sie durch den neuen Schlüssel geschützt werden, müssen Sie Folgendes ausführen:

  1. Entfernen Sie den Schutz von dem Dokument, das mit dem alten Mandantenschlüssel geschützt ist.
  2. Wenden Sie erneut Schutz an, wobei der neue Mandantenschlüssel verwendet wird.

Nächste Schritte