Настройка автоматической ротации ключей в управляемом HSM Azure

Обзор

Автоматическая смена ключей в Управляемом HSM позволяет пользователям настроить управляемый модуль HSM для автоматического создания новой версии ключа с указанной частотой. Политику поворота можно настроить для каждого отдельного ключа и при необходимости повернуть ключи по требованию. Наша рекомендация заключается в том, чтобы сменить ключи шифрования по крайней мере каждые два года, чтобы соответствовать рекомендациям по криптографии. Дополнительные сведения и рекомендации см. в NIST SP 800-57, часть 1.

Эта функция обеспечивает автоматическую сквозную смену ключей для шифрования данных в состоянии покоя в службах Azure с использованием ключей, управляемых клиентом (CMK), хранящихся в управляемом HSM Azure. Обратитесь к соответствующей документации по службе Azure, чтобы узнать, охватывает ли служба полный цикл ротации.

Pricing

Смена ключей в Managed HSM предоставляется без дополнительных расходов. Дополнительные сведения о ценах на управляемый HSM см. на странице цен Azure Key Vault

Требуются разрешения

Для смены ключа или настройки политики смены ключей требуются определенные разрешения на управление ключами. Вы можете назначить роль "Пользователь шифрования Managed HSM", чтобы получить достаточные разрешения для управления политикой ротации и выполнения ротации по запросу.

Дополнительные сведения о настройке локальных разрешений RBAC управляемой HSM см.: Управление ролями управляемой HSM

Политика смены ключей

Политика ротации ключей позволяет пользователям настраивать интервалы ротации и задавать интервал истечения срока действия для ротации ключей. Его необходимо задать, прежде чем ключи можно повернуть по требованию.

Параметры политики смены ключей:

• Время истечения срока действия: интервал истечения срока действия ключа (минимум 28 дней). Он используется для установки даты окончания срока действия только что повернутого ключа (например, после смены срок действия нового ключа истекает в течение 30 дней).
• Типы поворотов:
  • Автоматическое продление в определенное время после создания
  • Автоматическое продление в определенное время до истечения срока действия. Значение "Дата окончания срока действия" должно быть задано в ключе для запуска этого события.

Настройка политики смены ключей

Azure CLI (Интерфейс командной строки для Azure)

Напишите политику смены ключей и сохраните ее в файле. Используйте форматы ISO8601 длительности для указания интервалов времени. В следующем разделе приведены некоторые примеры политик. Используйте следующую команду, чтобы применить политику к ключу.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Примеры политик

Поверните ключ через 18 месяцев после создания и установите срок его действия, чтобы он истек через два года.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Поверните ключ за 28 дней до истечения срока действия и установите срок действия нового ключа через один год.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Удалите политику смены ключей, установив пустую политику.

{
  "lifetimeActions": [],
  "attributes": {}
}

Поворот по требованию

После установки политики поворота для ключа можно также повернуть ключ по запросу. Сначала нужно установить политику ротации ключей.

Azure CLI (Интерфейс командной строки для Azure)

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Ресурсы

• Управление ролями в управляемом HSM
• Шифрование данных в состоянии покоя в Azure
• Шифрование службы хранилища Azure