Configurar a troca automática de chave no HSM gerenciado pelo Azure

Visão geral

A troca automática de chave no HSM gerenciado permite que os usuários configurem o HSM gerenciado para gerar automaticamente uma nova versão da chave em uma frequência especificada. Você pode definir uma política de troca para configurar a troca de cada chave individual e, opcionalmente, trocar as chaves sob demanda. Nossa recomendação é girar as chaves de criptografia pelo menos a cada dois anos para atender às práticas recomendadas de criptografia. Para obter diretrizes e recomendações adicionais, confira NIST SP 800-57 Parte 1.

Esse recurso habilita a troca sem intervenção humana de ponta a ponta para criptografia de dados inativos nos serviços do Azure com CMK (chave gerenciada pelo cliente) armazenados no HSM gerenciado do Azure. Confira a documentação específica do serviço do Azure para ver se o serviço abrange a rotação de ponta a ponta.

Preços

A troca de chave HSM gerenciado é oferecida sem custo adicional. Para obter mais informações sobre o HSM gerenciado, confira a página de preços do Azure Key Vault

Permissões necessárias

A troca de uma chave ou a definição de uma política de troca de chave requer permissões específicas de gerenciamento de chaves. Você pode atribuir a função "Usuário de Criptografia do HSM Gerenciado" para obter permissões suficientes para gerenciar a política de troca e a troca sob demanda.

Para obter mais informações sobre como configurar permissões RBAC locais no HSM gerenciado, confira: Gerenciamento de função do HSM gerenciado

Política de rotação de chaves

A política de troca de chaves permite que os usuários configurem intervalos de troca e definam o intervalo de expiração para chaves trocadas. Ela precisa ser definida para que as chaves possam ser trocadas sob demanda.

Configurações da política de rotação de chaves:

• Tempo de expiração: intervalo de expiração da chave (mínimo de 28 dias). Ele é usado para definir a data de validade em uma chave recém-trocada (por exemplo, após a troca, a nova chave é definida para expirar em 30 dias).
• Tipos de rotação:
  • Renovar automaticamente em um determinado momento após a criação
  • Renovar automaticamente em um determinado momento antes da expiração. A 'Data de Validade' precisa ser definida na chave para que esse evento seja disparado.

Configurar uma política de troca de chaves

CLI do Azure

Crie uma política de troca de chaves e salve-a em um arquivo. Use formatos de duração ISO8601 para especificar intervalos de tempo. Algumas políticas de exemplo são fornecidas na próxima seção. Use o comando a seguir para aplicar a política a uma chave.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

Exemplo de políticas

Trocar a chave 18 meses após a criação e definir a nova chave para expirar após dois anos.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

Trocar a chave 28 dias antes da expiração e definir a nova chave para expirar após um anos.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

Remover a política de troca de chaves (definindo uma política em branco)

{
  "lifetimeActions": [],
  "attributes": {}
}

Rotação sob demanda

Depois que uma política de troca é definida para a chave, você também pode trocar a chave sob demanda. Você precisa definir uma política de troca de chaves.

CLI do Azure

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

Recursos

• Gerenciamento de função do HSM Gerenciado
• Criptografia de dados em repouso no Azure
• Criptografia de Armazenamento do Azure