Security
更新過期密鑰 - Azure OS 磁碟加密
今天早上在我的辦公桌上做白日夢時,我發生了一些事情,我還沒有找到答案。所以我希望有人可以為我發光,或者只是對此進行很好的討論。
讓我設置場景。最近,我開始嘗試使用 Azure Portal 和他們提供的 Key Vault 服務進行磁碟加密。它比使用 AD 應用程序的舊方法更有意義。所以我在資源組中創建了我的新密鑰庫,在其中創建了一個密鑰,並按照我認為合適的方式設置了加密操作。然後我編寫了一個腳本,通過 AzurePowerShell CLI 執行,幾分鐘後我在 VM(MS Server 2012r2)上的磁碟被加密。所以我在我的其餘測試環境中這樣做只是為了檢查它是否真的有效。沒有第一次在這裡僥倖!
然後我想到,當/如果密鑰過期接下來會發生什麼?現在顯然在測試環境中我並不在乎,如果發生這種情況,我可以把所有東西都拉下來。但是,當我與擁有生產環境的客戶交談時,他們經常詢問在 Azure 中執行的機器的安全性,我想知道刷新這些密鑰是多麼容易。與我交談過的許多人都制定了有關密鑰循環的政策,因此不希望密鑰在 200 年內不會過期。他們的保安一秒鐘都不會接受這個想法。
有誰知道,更新密鑰的最佳方法是什麼?我最初的想法肯定是不可能的,是在到期前取消加密磁碟。然後重新執行腳本,但使用全新生成的密鑰再次加密?這似乎是一個很長的路要走,但也許這是唯一的方法?
有沒有其他人有同樣的想法,或者必須使用 Azure Key Vault 實現密鑰刷新?
因此,我與 Azure 的幾個人就此事進行了交談。
一致認為,在密鑰過期之前更新加密磁碟的最佳方法如下:
- 使用加密的密鑰對磁碟進行解密(當然在過期之前)
- 在密鑰保管庫中導入/生成新密鑰
- 使用新密鑰重新執行加密腳本
- 從保管庫中刪除密鑰
這個過程比我希望的要長一點,但使用 Azure Powershell CLI 確實加快了實際取消加密和再次加密磁碟的速度。