Поделиться через

Управление ключами, управляемыми клиентом, для Azure Elastic SAN

Все данные, записанные в томе Elastic SAN, автоматически шифруются в состоянии покоя с помощью ключа шифрования данных (DEK). Пакеты DEK Azure всегда платформенно управляемые (управляются корпорацией Майкрософт). Azure использует шифрование оболочки, также известное как обёртывание, которое включает использование ключа шифрования ключей (KEK) для шифрования DEK. По умолчанию KEK управляется платформой, но вы можете создавать собственные KEK и управлять ими. Управляемые клиентом ключи обеспечивают большую гибкость управления доступом и могут помочь вам в соответствии с требованиями к безопасности и соответствию требованиям организации.

Вы управляете всеми аспектами своих ключей шифрования, включая:

  • Какой ключ используется
  • Где хранятся ключи
  • Как происходит поворот ключей
  • Возможность переключаться между ключами, управляемыми клиентом и платформой

В этой статье объясняется, как управлять ключами шифрования, управляемыми клиентом (KEK).

Примечание.

Шифрование конверта позволяет изменить конфигурацию ключа без влияния на тома Elastic SAN. При внесении изменений служба Elastic SAN повторно шифрует ключи шифрования данных новыми ключами. Защита ключа шифрования данных изменяется, но данные в томах Elastic SAN всегда шифруются. С вашей стороны не требуется никаких дополнительных действий для обеспечения защиты ваших данных. Изменение конфигурации ключа не влияет на производительность и отсутствие простоя, связанного с таким изменением.

Ограничения

В следующем списке содержатся регионы, в которых сейчас доступна Elastic SAN, и в каких регионах поддерживается как зонально-избыточное хранилище (ZRS) и локально-избыточное хранилище (LRS), или только LRS:

  • Восточная Австралия - LRS и ZRS
  • Южная Бразилия - LRS и ZRS
  • Центральная Канада - LRS и ZRS
  • Центральная часть США - LRS и ZRS
  • Восточная Азия - LRS и ZRS
  • Восточная часть США - LRS и ZRS
  • Восточная часть США 2 - LRS и ZRS
  • Центральная Франция - LRS и ZRS
  • Центрально-Западная Германия - LRS и ZRS
  • Центральная Индия - LRS и ZRS
  • Южная Индия - LRS
  • Восточная Япония - LRS и ZRS
  • Центральная Корея - LRS и ZRS
  • Северная Европа - LRS и ZRS
  • Восточная Норвегия - LRS и ZRS
  • Северная Африка - LRS и ZRS
  • Южная часть США - LRS и ZRS
  • Юго-Восточная Азия - LRS и ZRS
  • Центральная Швеция - LRS и ZRS
  • Северная Швейцария - LRS и ZRS
  • Север ОАЭ - LRS и ZRS
  • Южная Великобритания - LRS и ZRS
  • Западная Европа - LRS и ZRS
  • Западная часть США 2 - LRS и ZRS
  • Западная часть США 3 - LRS и ZRS

Эластичная SAN также доступна в следующих регионах, но без поддержки зоны доступности. Чтобы развернуть в следующих регионах, используйте модуль Azure PowerShell или Azure CLI:

  • Центральная Австралия - LRS
  • Центральная Австралия 2 - LRS
  • Юго-Восточная Австралия - LRS
  • Юго-Восточная Бразилия - LRS
  • Восточная Канада - LRS
  • Южная Франция - LRS
  • Северная Германия - LRS
  • Западная Япония - LRS
  • Корея Южная Корея - LRS
  • Малайзия южная часть - LRS
  • Северная часть США - LRS
  • Западная Норвегия - LRS
  • Западная Африка - LRS
  • Южная Швеция - LRS
  • Западная Швейцария - LRS
  • Тайвань Север - LRS
  • Центральная часть ОАЭ - LRS
  • Западная часть Великобритании - LRS
  • Западная часть США - LRS
  • Западная часть США - LRS

Чтобы включить эти регионы, выполните следующую команду, чтобы зарегистрировать необходимый флаг компонента:

Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"

Изменение ключа

Вы можете изменить ключ, который вы используете для шифрования Azure Elastic SAN в любое время.

Чтобы изменить ключ с помощью PowerShell, вызовите Update-AzElasticSanVolumeGroup и укажите новое имя ключа и версию. Если новый ключ находится в другом хранилище ключей, необходимо также обновить URI хранилища ключей.

Если новый ключ находится в другом хранилище ключей, необходимо предоставить управляемому удостоверению доступ к ключу в новом хранилище. Если вы решили вручную обновить версию ключа, необходимо также обновить универсальный код ресурса (URI) хранилища ключей.

Обновление версии ключа

Следуя передовым методам шифрования, необходимо периодически обновлять ключ, который защищает группу томов Elastic SAN, в соответствии с регулярным графиком, как правило, каждые два года. Azure Elastic SAN никогда не изменяет ключ в хранилище ключей, но вы можете настроить политику ротации ключей для смены ключа в соответствии с требованиями соответствия. Дополнительные сведения см. в статье "Настройка автоматического поворота криптографического ключа" в Azure Key Vault.

После ротации ключа в хранилище ключей необходимо обновить конфигурацию KEK, управляемого клиентом, для группы томов Elastic SAN, чтобы использовать новую версию ключа. Ключи, управляемые клиентом, поддерживают автоматическое и ручное обновление версии KEK. Вы можете решить, какой подход вы хотите использовать при первоначальной настройке ключей, управляемых клиентом, или при обновлении конфигурации.

При изменении ключа или версии ключа защита корневого ключа шифрования изменяется, но данные в группе томов Azure Elastic SAN всегда шифруются. Вам не нужно предпринимать никаких дополнительных действий для защиты ваших данных. Смена версии ключа не влияет на производительность, и не связана с простоем.

Внимание

Чтобы повернуть ключ, создайте новую версию ключа в хранилище ключей в соответствии с вашими требованиями к соответствию. Azure Elastic SAN не обрабатывает ротацию ключей, поэтому вам потребуется заниматься ротацией ключей в хранилище ключей.

При смене ключа, используемого для ключей, управляемых клиентом, это действие в настоящее время не регистрируется в журналах Azure Monitor для Azure Elastic SAN.

Автоматическое обновление версии ключа

Чтобы автоматически обновить управляемый клиентом ключ при наличии новой версии, опустите версию ключа при включении шифрования с помощью ключей, управляемых клиентом, для группы томов Elastic SAN. Если версия ключа опущена, azure Elastic SAN проверяет хранилище ключей ежедневно для новой версии управляемого клиентом ключа. Если доступна новая версия ключа, Azure Elastic SAN автоматически использует последнюю версию ключа.

Azure Elastic SAN проверяет хранилище ключей на наличие новой версии ключа только один раз в день. После смены ключа подождите 24 часа, прежде чем отключить старую версию.

Если группа томов Elastic SAN ранее была настроена для ручного обновления версии ключа и вы хотите изменить его на автоматическое обновление, может потребоваться явным образом изменить версию ключа на пустую строку. Дополнительные сведения о том, как это сделать, см. в разделе "Смена версий ключей вручную".

Обновление версии ключа вручную

Чтобы использовать определенную версию ключа для шифрования Azure Elastic SAN, укажите эту версию ключа при включении шифрования с помощью ключей, управляемых клиентом, для группы томов Elastic SAN. Если указать версию ключа, azure Elastic SAN использует эту версию для шифрования до тех пор, пока не обновите версию ключа вручную.

При явном указании версии ключа необходимо вручную обновить группу томов Elastic SAN, чтобы использовать URI новой версии ключа при создании новой версии. Сведения о том, как обновить группу томов Elastic SAN для использования новой версии ключа, см. в статье Настройка шифрования с помощью ключей, управляемых клиентом, хранящихся в Azure Key Vault.

Отмена доступа к группе томов, использующая ключи, управляемые клиентом

Чтобы временно отменить доступ к группе томов Elastic SAN, использующую ключи, управляемые клиентом, отключите ключ, используемый в настоящее время в хранилище ключей. Нет влияния на производительность или простоя, связанного с отключением и повторной настройкой ключа.

После отключения ключа клиенты не могут вызывать операции, которые считываются из томов или записываются в тома в группе томов или их метаданных.

Внимание

При отключении ключа в хранилище ключей данные в группе томов Azure Elastic SAN остаются зашифрованными, но они становятся недоступными до повторной регистрации ключа.

Чтобы отозвать управляемый клиентом ключ с помощью PowerShell, вызовите команду Update-AzKeyVaultKey , как показано в следующем примере. Не забудьте заменить значения заполнителей в квадратных скобках собственными значениями, чтобы определить переменные или использовать переменные, определенные в предыдущих примерах.

$KvName  = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled

Вернуться к ключам, управляемым платформой

Вы можете в любое время переключиться с ключей, управляемых клиентом, на ключи, управляемые платформой, с помощью модуля Azure PowerShell или Azure CLI.

Чтобы переключиться с ключей, управляемых клиентом, обратно на управляемые платформой ключи с помощью PowerShell, вызовите Update-AzElasticSanVolumeGroup с -Encryption параметром, как показано в следующем примере. Не забудьте заменить значения заполнителей собственными значениями и использовать переменные, определенные в предыдущих примерах.

Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey

См. также

  • Last updated on