Eseguire la rotazione delle chiavi gestite dal cliente per le macchine virtuali riservate

  • Articolo

In Azure, le macchine virtuali riservate (VM riservate) supportano le chiavi gestite dal cliente. Tali chiavi consentono di gestire correttamente le macchine virtuali riservate e gli artefatti associati. È possibile gestire queste chiavi in Azure Key Vault o tramite un modulo di protezione hardware gestito (HSM gestito). Il presente articolo è incentrato sulla gestione delle chiavi tramite un HSM gestito, se non diversamente specificato.

Se si desidera usare una chiave gestita dal cliente, è necessario specificare una risorsa del set di crittografia dischi durante la creazione della macchina virtuale riservata. Il set di crittografia dischi deve fare riferimento alla chiave gestita dal cliente. Generalmente, è possibile associare un singolo set di crittografia dischi a più macchine virtuali riservate. È consigliabile adottare come procedura consigliata per la sicurezza, la rotazione periodica di una chiave gestita dal cliente. La frequenza di rotazione è una decisione basata sui criteri organizzativi. La rotazione è necessaria anche quando una chiave gestita dal cliente risulta compromessa.

Modificare la chiave gestita dal cliente

La chiave che si utilizza per le macchine virtuali riservate può essere modificata in qualsiasi momento. Per ruotare una chiave gestita dal cliente:

  1. Accedere al portale di Azure.
  2. Passare al servizio Macchine virtuali.
  3. Arrestare tutte le macchine virtuali riservate che hanno lo stesso set di crittografia dischi. Se una o più macchine virtuali non si trovano nello stato di arresto, nessuna delle macchine virtuali potrà ricevere la nuova chiave.
  4. Passare al servizio Set di crittografia dischi.
  5. Selezionare la risorsa del set di crittografia dischi associata alla macchina virtuale riservata.
  6. Nel menu della risorsa, in Impostazioni, scegliere Chiave.
  7. Selezionare Modifica chiave.
  8. Selezionare l'insieme di credenziali delle chiavi, la chiave e la versione appropriati.
  9. Salvare le modifiche. L'operazione di salvataggio aggiorna la chiave per tutti gli artefatti della macchina virtuale riservata.

Ripetizione della rotazione delle chiavi

In rari casi, la chiave gestita dal cliente potrebbe non essere ruotata per tutte le macchine virtuali riservate, anche se tutte le macchine virtuali sono state arrestate. Se la chiave gestita dal cliente non viene ruotata, la risorsa del set di crittografia dischi contiene comunque un riferimento alla chiave precedente. In questo stato, alcune VM riservate possono avere la nuova chiave, mentre altre possono avere la chiave precedente.

Per risolvere questo problema, ripetere i passaggi per aggiornare il set di crittografia dischi.

Limiti

  • La rotazione automatica delle chiavi per le macchine virtuali riservate non è attualmente supportata.
  • La rotazione delle chiavi non è supportata per i dischi temporanei. È consigliabile avere un set di crittografia dischi separato per le macchine virtuali riservate con disco temporaneo. Se le macchine virtuali riservate, con dischi temporanei e non temporanei, condividono lo stesso set di crittografia dischi, è necessario eliminare le macchine virtuali riservate con dischi temporanei, prima di ruotare le chiavi per le VM riservate con dischi non temporanei.