Önemli iş yüklerini geçirme

Azure Key Vault ve Azure Yönetilen HSM, anahtar malzemesini korumak ve anahtarların HSM özelliklerinin değiştirilmemesini sağlamak için anahtarların dışarı aktarılmalarına izin vermez.

Anahtarın yüksek düzeyde taşınabilir olmasını istiyorsanız, en iyisi anahtarı desteklenen bir HSM'de oluşturup Azure Key Vault'a veya Azure Yönetilen HSM'ye aktarmaktır.

Önemli iş yüklerinin geçirilmesini gerektiren çeşitli senaryolar vardır:

• Abonelikler, kaynak grupları veya sahipler arasında geçiş yapma gibi güvenlik sınırlarını değiştirme.
• Belirli bir bölgedeki uyumluluk sınırları veya riskler nedeniyle bölgeleri taşıma.
• Azure Key Vault'tan Azure Yönetilen HSM'ye geçiş gibi yeni bir teklife geçmek, Key Vault Premium'dan daha fazla güvenlik, yalıtım ve uyumluluk sunar.

Aşağıda, yeni bir anahtar kullanmak üzere iş yüklerini yeni bir kasaya veya yeni bir yönetilen HSM'ye geçirmek için çeşitli yöntemleri ele alıyoruz.

Müşteri tarafından yönetilen anahtarı kullanan Azure Hizmetleri

Key Vault'ta anahtar kullanan iş yüklerinin çoğunda, anahtarı yeni bir konuma (farklı bir abonelikte veya bölgede yeni yönetilen HSM veya yeni anahtar kasası) geçirmenin en etkili yolu şunlardır:

1. Yeni kasada veya yönetilen HSM'de yeni bir anahtar oluşturun.
2. İş yükünün kimliğini Azure Key Vault veya Azure Yönetilen HSM'deki uygun role ekleyerek iş yükünün bu yeni anahtara erişimi olduğundan emin olun.
3. Müşteri tarafından yönetilen şifreleme anahtarı olarak yeni anahtarı kullanmak için iş yükünü güncelleştirin.
4. Anahtarlarının başlangıçta koruduğu iş yükü verilerinin yedeklerini artık istemediğiniz sürece eski anahtarı koruyun.

Örneğin, Azure Depolama'yı yeni bir anahtar kullanacak şekilde güncelleştirmek için Mevcut bir depolama hesabı için müşteri tarafından yönetilen anahtarları yapılandırma - Azure Depolama başlığındaki yönergeleri izleyin. Depolama yeni anahtara güncelleştirilene kadar önceki müşteri tarafından yönetilen anahtar gereklidir; Depolama başarıyla yeni anahtara güncelleştirildikten sonra, önceki anahtar artık gerekli değildir.

Özel uygulamalar ve istemci tarafı şifrelemesi

Key Vault'taki anahtarları kullanarak verileri doğrudan şifreleyen istemci tarafı şifreleme veya oluşturduğunuz özel uygulamalar için işlem farklıdır:

1. Yeni anahtar kasasını veya yönetilen HSM'yi oluşturun ve yeni bir anahtar şifreleme anahtarı (KEK) oluşturun.
2. Yeni anahtarı kullanarak eski anahtar tarafından şifrelenen tüm anahtarları veya verileri yeniden şifreleyin. (Veriler anahtar kasasındaki anahtar tarafından doğrudan şifrelendiyse, tüm verilerin okunması, şifresinin çözülmesi ve yeni anahtarla şifrelenmesinin gerekip gerekmediğinin bu işlem biraz zaman alabilir. Bu tür anahtar dönüşlerini daha hızlı hale getirmek için mümkün olduğunda zarf şifrelemesini kullanın).

Verileri yeniden şifrelerken, kek döndürmeyi gelecekte daha kolay hale getirecek üç düzeyli bir anahtar hiyerarşisi öneririz: 1. Azure Key Vault'taki Anahtar Şifreleme Anahtarı veya Yönetilen HSM 1. Birincil Anahtar 1. Birincil Anahtardan türetilen Veri Şifreleme Anahtarları

1. Geçiş sonrasında (ve silinmeden önce) verileri doğrulayın.
2. Artık ilişkili verilerin yedeklerini istemediğiniz sürece eski anahtar/anahtar kasasını silmeyin.

Azure Information Protection'da kiracı anahtarlarını geçirme

Azure Information Protection'da kiracı anahtarlarının geçirilmesine "yeniden anahtarlama" veya "anahtarınızın sıralanması" denir. Müşteri tarafından yönetilen - AIP kiracı anahtarı yaşam döngüsü işlemleri , bu işlemin nasıl gerçekleştirildiğini gösteren ayrıntılı yönergeler içerir.

Eski kiracı anahtarıyla korunan içeriğe veya belgelere artık ihtiyacınız kalmayıncaya kadar eski kiracı anahtarını silmek güvenli değildir. Belgeleri yeni anahtarla korunacak şekilde geçirmek istiyorsanız:

1. Eski kiracı anahtarıyla korunan belgeden korumayı kaldırın.
2. Yeni kiracı anahtarını kullanacak şekilde korumayı yeniden uygulayın.

Sonraki adımlar

• Azure Key Vault hakkında
• Azure Key Vault Yönetilen HSM hakkında mı?
• Anahtar yönetimi Azure'dır