Cara memigrasikan beban kerja kunci

Azure Key Vault dan Azure Managed HSM tidak mengizinkan ekspor kunci, untuk melindungi materi utama dan memastikan bahwa properti HSM kunci tidak dapat diubah.

Jika Anda ingin kunci menjadi sangat portabel, yang terbaik adalah membuatnya di HSM yang didukung dan mengimpornya ke Azure Key Vault atau Azure Managed HSM.

Ada beberapa skenario yang memerlukan migrasi beban kerja utama:

• Mengalihkan batas keamanan, seperti saat beralih antara langganan, grup sumber daya, atau pemilik.
• Memindahkan wilayah karena batas kepatuhan atau risiko di wilayah tertentu.
• Mengubah ke penawaran baru, seperti dari Azure Key Vault ke Azure Managed HSM, yang menawarkan keamanan, isolasi, dan kepatuhan yang lebih besar daripada Key Vault Premium.

Di bawah ini kami membahas beberapa metode untuk memigrasikan beban kerja untuk menggunakan kunci baru, baik ke vault baru atau ke HSM terkelola baru.

Layanan Azure menggunakan kunci yang dikelola pelanggan

Untuk sebagian besar beban kerja yang menggunakan kunci di Key Vault, cara paling efektif untuk memigrasikan kunci ke lokasi baru (HSM terkelola baru atau brankas kunci baru di langganan atau wilayah yang berbeda) adalah dengan:

1. Buat kunci baru di vault baru atau HSM terkelola.
2. Pastikan bahwa beban kerja memiliki akses ke kunci baru ini, dengan menambahkan identitas beban kerja ke peran yang sesuai di Azure Key Vault atau Azure Managed HSM.
3. Perbarui beban kerja untuk menggunakan kunci baru sebagai kunci enkripsi yang dikelola pelanggan.
4. Pertahankan kunci lama sampai Anda tidak lagi menginginkan cadangan data beban kerja yang awalnya dilindungi kunci tersebut.

Misalnya, untuk memperbarui Azure Storage agar menggunakan kunci baru, ikuti instruksi di Mengonfigurasi kunci yang dikelola pelanggan untuk akun penyimpanan yang ada - Azure Storage. Kunci yang dikelola pelanggan sebelumnya diperlukan sampai Penyimpanan diperbarui ke kunci baru; setelah Penyimpanan berhasil diperbarui ke kunci baru, kunci sebelumnya tidak lagi diperlukan.

Aplikasi kustom dan enkripsi sisi klien

Untuk enkripsi sisi klien atau aplikasi kustom yang telah Anda buat, yang secara langsung mengenkripsi data menggunakan kunci di Key Vault, prosesnya berbeda:

1. Buat brankas kunci baru atau HSM terkelola, dan buat kunci enkripsi kunci (KEK) baru.
2. Enkripsi ulang kunci atau data apa pun yang dienkripsi oleh kunci lama menggunakan kunci baru. (Jika data langsung dienkripsi oleh kunci di brankas kunci, ini mungkin memakan waktu, karena semua data harus dibaca, didekripsi, dan dienkripsi dengan kunci baru. Gunakan enkripsi amplop jika memungkinkan untuk membuat rotasi kunci tersebut lebih cepat).

Saat mengenkripsi ulang data, kami merekomendasikan hierarki kunci tiga tingkat, yang akan membuat rotasi KEK lebih mudah di masa mendatang: 1. Kunci Enkripsi Kunci di Azure Key Vault atau HSM Terkelola 1. Kunci Primer 1. Kunci Enkripsi Data yang berasal dari Kunci Primer

1. Verifikasi data setelah migrasi (dan sebelum penghapusan).
2. Jangan hapus key/key vault lama sampai Anda tidak lagi menginginkan cadangan data yang terkait dengannya.

Memigrasikan kunci penyewa di Perlindungan Informasi Azure

Memigrasikan kunci penyewa di Perlindungan Informasi Azure disebut sebagai "kunci ulang" atau "menggulung kunci Anda". Dikelola pelanggan - Operasi siklus hidup kunci penyewa AIP memiliki instruksi terperinci tentang cara melakukan operasi ini.

Tidak aman untuk menghapus kunci penyewa lama sampai Anda tidak lagi memerlukan konten atau dokumen yang dilindungi dengan kunci penyewa lama. Jika Anda ingin memigrasikan dokumen agar dilindungi oleh kunci baru, Anda harus:

1. Hapus perlindungan dari dokumen yang dilindungi dengan kunci penyewa lama.
2. Terapkan perlindungan lagi, yang akan menggunakan kunci penyewa baru.

Langkah berikutnya

• Tentang Azure Key Vault
• Tentang Azure Key Vault Managed HSM?
• Manajemen kunci adalah Azure