Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
证书、密钥和机密等加密资产的生存期有限。 作为安全最佳做法,应定期轮换这些资产,以减少泄露风险,并确保符合安全策略。 Azure 密钥保管库提供用于轮换这些资产的自动化功能,帮助组织保持强大的安全态势,同时降低运营开销。
什么是自动轮引?
自动轮换是按照预定义的间隔或响应特定事件自动将加密资产替换为新资产的过程。 在Azure 密钥保管库中,自动调整功能因资产类型而异:
- 密钥:基于配置的轮换策略自动生成新密钥版本
- 机密:事件触发的机密更新与使用机密的系统集成
- 证书:证书过期前自动续订证书
自动旋转的优点
为加密资产实现自动轮换可提供以下几个优势:
- 增强安全性:定期轮换加密材料可降低泄露风险
- 简化合规性:满足加密资产生命周期管理的法规和组织要求
- 作效率:减少手动工作量和轮换过程中人为错误的风险
- 缩短停机时间:过期前主动轮换可防止服务中断
- 可缩放管理:跨多个资产和服务自动轮换
不同资产类型的自动调整
键自动旋转
可以使用轮换策略配置Azure 密钥保管库中的密钥,以指定频率自动生成新的密钥版本。 这对于用作Azure服务中的客户管理的密钥(CMK)非常有用。
密钥自动轮换支持:
- 可配置的轮换间隔(至少七天)
- 通过事件网格发送即将过期的通知
- 除计划轮换外,按需轮换
- 使用 CMK 与 Azure 服务集成
隐秘自动旋转
使用由事件网格事件触发的 Azure 函数,可以为 Azure 密钥保管库 中的机密配置自动轮换。 对于需要定期更新的数据库凭据、API 密钥和其他敏感信息而言,这非常有用。
机密自动轮换支持:
- 通过事件网格触发事件
- 与Azure Functions集成以实现自定义轮换逻辑
- 有关手动轮换提醒的即将到期通知
- 使用新的机密值更新依赖服务
Azure 密钥保管库支持两种机密轮换方案:
证书自动轮换
存储在Azure 密钥保管库中的证书可以在过期之前自动续订。 密钥保管库通过集成证书颁发机构(CA)或通过自签名证书重新生成来处理证书续订。
证书自动轮换支持:
- 配置有效期
- 在到期前按指定的使用期限百分比或天数自动续订
- 证书过期的电子邮件通知
- 与 DigiCert 和 GlobalSign 等证书颁发机构集成
自动旋转的最佳做法
在Azure 密钥保管库中实现自动调整时,请考虑以下最佳做法:
- 使用版本控制:确保系统自动引用最新版本的密钥、证书或机密
- 实施适当的访问控制:使用 Azure RBAC 控制谁可以配置轮换策略
- 监视轮换事件:为成功和失败的轮换设置通知和警报
- 测试轮换过程:验证依赖系统是否可以正确处理旋转的资产
- 配置适当的轮换频率:在安全要求与运营考量之间取得平衡
- 文档应急程序:为紧急情况下记录手动更替流程
- 遵循安全最佳做法:按照 保护您的 Azure 密钥保管库 中所述实施全面的安全措施
常见的自动旋转场景
Azure服务的客户管理的密钥
许多Azure服务支持使用存储在密钥保管库中的客户管理的密钥进行加密。 将这些密钥配置为自动轮换时,服务会自动使用最新密钥版本进行新的加密作,同时保持对使用以前版本加密的数据的访问。
数据库凭据
可以使用函数应用自动轮换存储在密钥保管库中作为机密的数据库凭据,这些应用不仅更新密钥保管库中的机密,而且还可将新凭据应用于数据库。
API 密钥和服务凭据
自动轮调 API 密钥和服务凭据有助于通过限制这些敏感资产的生存期来维护安全性。 通过使用Azure Functions实现轮换,可以更新密钥保管库和目标服务。