Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Криптографические ресурсы, такие как сертификаты, ключи и секреты, имеют ограниченные сроки существования. Рекомендуется регулярно менять эти ресурсы, чтобы снизить риск компрометации и обеспечить соответствие политикам безопасности. Azure Key Vault предоставляет возможности автоматизации для смены этих ресурсов, помогая организациям поддерживать высокий уровень безопасности с минимальными эксплуатационными затратами.
Что такое авторотация?
Автоматическая обработка — это процесс автоматической замены криптографических ресурсов новыми с предопределенными интервалами или в ответ на определенные события. В Azure Key Vault возможности автоматической обработки зависят от типа ресурса:
- Ключи: автоматическое создание новых версий ключей на основе настроенных политик поворота
- Секреты: обновления секретов, инициируемые событиями, и интеграция с системами, которые используют их
- Сертификаты: автоматическое продление сертификатов до истечения срока их действия
Преимущества авторотации
Реализация авторотации для ваших криптографических активов обеспечивает несколько преимуществ:
- Улучшенная безопасность: регулярное смена криптографических материалов снижает риск компрометации
- Упрощенное соответствие: соответствие нормативным требованиям и организационным требованиям для управления жизненным циклом криптографических ресурсов
- Операционная эффективность: Снизить ручные усилия и риск человеческой ошибки в процессах смены
- Сокращение простоя: упреждающая смена до истечения срока действия предотвращает нарушения работы службы
- Масштабируемое управление: автоматизация ротации между несколькими активами и службами
Авторотация для разных типов активов
Авторотация ключей
Ключи в Azure Key Vault можно настроить с помощью политик поворота, которые автоматически создают новые версии ключей с указанной частотой. Это полезно для ключей, используемых в качестве ключей, управляемых клиентом (CMK) в службах Azure.
Авторотация ключей поддерживает следующее:
- Настраиваемые интервалы поворота (минимум семь дней)
- Уведомления о истечении срока действия через сетку событий
- Смена по запросу в дополнение к запланированной смене
- Интеграция со службами Azure с помощью CMKs
Узнайте, как настроить автоматическое создание ключей в Azure Key Vault
Секретная авторотация
Секреты в Azure Key Vault можно настроить для автоматической обработки с помощью функций Azure, инициируемых событиями сетки событий. Это полезно для учетных данных базы данных, ключей API и других конфиденциальных сведений, требующих регулярных обновлений.
Авторотация секретов поддерживает следующее:
- Активация на основе событий с помощью сетки событий
- Интеграция с функциями Azure для пользовательской логики поворота
- Уведомления о почти истечении срока действия напоминаний о смене вручную
- Обновление зависимых служб с новыми значениями секретов
Azure Key Vault поддерживает два сценария смены секретов:
- Узнайте, как реализовать автоматическую ротацию секретов для ресурсов с одной совокупностью удостоверений
- Узнайте, как реализовать автоматическое обновление секрета для ресурсов с двумя наборами учетных данных аутентификации
Автоматическое обновление сертификатов
Сертификаты, хранящиеся в Azure Key Vault, можно автоматически обновлять до истечения срока их действия. Key Vault обрабатывает продление сертификатов с помощью интегрированных центров сертификации (ЦС) или через регенерацию самоподписанных сертификатов.
Авторотация сертификатов поддерживает:
- Настройка периодов действия
- Автоматическое продление на указанный процент от общей продолжительности или за несколько дней до истечения срока действия
- Уведомления по электронной почте о истечении срока действия сертификата
- Интеграция с центрами сертификации, такими как DigiCert и GlobalSign
Узнайте, как настроить автоматическое создание сертификата в Azure Key Vault
Лучшие практики для авторотации
При реализации авторотации в Azure Key Vault рассмотрите следующие рекомендации.
- Использование управления версиями: убедитесь, что системы ссылались на последнюю версию ключа, сертификата или секрета автоматически.
- Реализуйте надлежащие элементы управления доступом: Используйте Azure RBAC для контроля, кто может настроить политики ротации
- Мониторинг событий поворота: настройка уведомлений и оповещений для успешных и неудачных операций поворота
- Тестирование процедур ротации: проверка правильности обработки ротации активов системой зависимости.
- Настройка соответствующих частот поворота: баланс требований к безопасности с учетом операционных аспектов
- Документирование резервных процедур: должны быть задокументированы процессы ручного переключения для чрезвычайных ситуаций
- Следуйте рекомендациям по обеспечению безопасности. Реализуйте комплексные меры безопасности, описанные в статье Secure your Azure Key Vault
Распространенные сценарии автовращения
Управляемые клиентом ключи для служб Azure
Многие службы Azure поддерживают шифрование с помощью ключей, управляемых клиентом, хранящихся в Key Vault. Если эти ключи настроены для автоматической обработки, службы автоматически используют последнюю версию ключа для новых операций шифрования при сохранении доступа к данным, зашифрованным с помощью предыдущих версий.
Учетные данные базы данных
Учетные данные базы данных, хранящиеся в качестве секретов в Key Vault, можно автоматически повернуть с помощью приложений-функций, которые не только обновляют секрет в Key Vault, но и применяют новые учетные данные к базе данных.
Ключи API и учетные данные службы
Авторотация ключей API и учетных данных службы позволяет поддерживать безопасность, ограничивая срок действия этих конфиденциальных ресурсов. Реализуя ротацию с помощью Azure Functions, вы можете обновить как Key Vault, так и целевые службы.