Configurar a rotação automática de chaves no Azure Managed HSM

Descrição geral

A rotação automatizada de chaves no HSM gerenciado permite que os usuários configurem o HSM gerenciado para gerar automaticamente uma nova versão de chave em uma frequência especificada. Você pode definir uma política de rotação para configurar a rotação para cada chave individual e, opcionalmente, girar as chaves sob demanda. A nossa recomendação é rodar as chaves de encriptação, pelo menos, de dois em dois anos para cumprir as melhores práticas criptográficas. Para obter orientações e recomendações adicionais, consulte NIST SP 800-57 Parte 1.

Esse recurso habilita a rotação de toque zero de ponta a ponta para criptografia em repouso para serviços do Azure com chaves gerenciadas pelo cliente (CMK) armazenadas no HSM gerenciado do Azure. Veja a documentação do serviço do Azure específico para ver se o serviço abrange a rotação ponto a ponto.

Preços

A rotação de chaves HSM gerenciada é oferecida sem custo extra. Para obter mais informações sobre os preços do HSM gerenciado, consulte a página de preços do Azure Key Vault

Permissões necessárias

Girar uma chave ou definir uma política de rotação de chaves requer permissões específicas de gerenciamento de chaves. Você pode atribuir a função "Usuário de criptografia HSM gerenciado" para obter permissões suficientes para gerenciar a política de rotação e a rotação sob demanda.

Para obter mais informações sobre como configurar permissões RBAC locais no HSM gerenciado, consulte: Gerenciamento de função de HSM gerenciado

Política de rotação de chaves

A política de rotação de chaves permite que os usuários configurem intervalos de rotação e definam o intervalo de expiração para chaves giradas. Ele deve ser definido antes que as chaves possam ser giradas sob demanda.

Configurações da política de rotação de chaves:

• Tempo de validade: intervalo de expiração da chave (mínimo 28 dias). Ele é usado para definir a data de validade em uma chave recém-girada (por exemplo, após a rotação, a nova chave é definida para expirar em 30 dias).
• Tipos de rotação:
  • Renovar automaticamente em um determinado momento após a criação
  • Renovar automaticamente em um determinado momento antes do vencimento. 'Data de validade' deve ser definida na chave para que este evento seja acionado.

Configurar uma política de rotação de chaves

CLI do Azure

Escreva uma política de rotação de chaves e salve-a em um arquivo. Use os formatos ISO8601 Duração para especificar intervalos de tempo. Alguns exemplos de políticas são fornecidos na próxima seção. Use o comando a seguir para aplicar a política a uma chave.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Exemplos de políticas

Rode a chave 18 meses após a criação e defina a nova chave para expirar após dois anos.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Rode a chave 28 dias antes da expiração e defina a nova chave para expirar após um ano.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Remover a política de rotação de chaves (feito definindo uma política em branco)

{
  "lifetimeActions": [],
  "attributes": {}
}

Rotação sob demanda

Depois que uma política de rotação é definida para a chave, você também pode girar a chave sob demanda. Você deve definir uma política de rotação de chaves primeiro.

CLI do Azure

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Recursos

• Gerenciamento de funções gerenciadas do HSM
• Criptografia de dados do Azure em repouso
• Criptografia de Armazenamento do Azure