Rotation der Rootschlüssel-Standardplan
Sie können die Rootschlüssel, die in Ihrer Hyper Protect Crypto Services-Instanz verwaltet werden, jeweils bei Bedarf oder durch Festlegen einer Rotationsrichtlinie rotieren. Die Schlüsselrotation findet statt, wenn Sie das ursprüngliche Schlüsselmaterial zurückziehen und ein neues Verschlüsselungsschlüsselmaterial für den Rootschlüssel erstellen.
Die regelmäßige Schlüsselrotation unterstützt Sie bei der Einhaltung von Branchenstandards und Best Practices für die Verschlüsselung. In der folgenden Tabelle werden die Hauptvorteile der Schlüsselrotation beschrieben:
| Nutzen | Beschreibung |
|---|---|
| Verwaltung des Verschlüsselungszeitraums für Schlüssel | Durch die Schlüsselrotation wird der Zeitraum begrenzt, über den Ihre Informationen durch einen einzelnen Schlüssel geschützt werden. Durch das regelmäßige Wechseln Ihrer Rootschlüssel verkürzen Sie außerdem den Verschlüsselungszeitraum der Schlüssel. Je länger die Verwendung eines Verschlüsselungsschlüssels dauert, desto höher wird die Wahrscheinlichkeit für eine Sicherheitsverletzung. |
| Schadensbegrenzung bei Vorfällen | Wenn Ihre Organisation ein Sicherheitsproblem erkennt, können Sie den Schlüssel unverzüglich wechseln, um den Kostenaufwand, der mit einer Schlüsselverletzung verbunden ist, zu mindern oder Auswirkungen zu verringern. |
Die Schlüsselrotation wird im Dokument 'NIST Special Publication 800-57, Recommendation for Key Management' behandelt. Weitere Informationen finden Sie unter NIST SP 800-57 Pt. 1 Rev. 5
Optionen für die Rootschlüsselrotation vergleichen
In Hyper Protect Crypto Services können Sie einen Rootschlüssel jeweils nach Bedarf rotieren oder Sie können ihn durch Festlegen einer Rotationsrichtlinie rotieren, ohne dass Sie das nicht mehr genutzte Rootschlüsselmaterial weiter im Blick behalten müssen.
- Rotationsrichtlinie für einen Schlüssel festlegen
- In Hyper Protect Crypto Services vereinfacht sich die Rotation für Verschlüsselungsschlüssel dadurch, dass Sie Rotationsrichtlinien für Schlüssel aktivieren können, die Sie in dem Service generieren. Nachdem Sie einen Rootschlüssel erstellt haben, können Sie eine Rotationsrichtlinien für den Schlüssel in der Benutzerschnittstelle oder mit der API verwalten. Wählen Sie ein automatisches Rotationsintervall zwischen 1 und 12 Monaten für Ihren Schlüssel entsprechend Ihren Sicherheitsanforderungen aus. Wenn der Zeitpunkt zur Rotation des Schlüssels entsprechend dem angegebenen Rotationsintervall eingetreten ist, wird der Schlüssel von Hyper Protect Crypto Services automatisch durch neue Schlüsselinformationen ersetzt.
- Schlüssel bedarfsgesteuert rotieren
- Als Sicherheitsadministrator können Sie mehr Kontrolle über die Häufigkeit der Rotation für Ihre Schlüssel ausüben. Wenn Sie keine Richtlinie für automatische Rotation für einen Schlüssel festlegen wollen, können Sie manuell einen neuen Schlüssel erstellen, um einen vorhandenen Schlüssel zu ersetzen, und anschließend Ihre Anwendungen aktualisieren, sodass sie sich auf den neuen Schlüssel beziehen. Um diesen Prozess zu vereinfachen, können Sie Hyper Protect Crypto Services verwenden, um den Schlüssel bei Bedarf zu rotieren. In diesem Szenario wird der Schlüssel bei jeder Rotationsanforderung von Hyper Protect Crypto Services für Sie erstellt und ersetzt. Der Schlüssel behält dieselben Metadaten und die Schlüssel-ID.
Funktionsweise der Rootschlüsselrotation
Die Rootschlüsselrotation arbeitet mit einem sicheren Übergang der Schlüsselinformationen vom Status Aktiv in den Status Inaktiviert. Um die inaktivierten oder zurückgezogenen Schlüsselinformationen zu ersetzen, werden die neuen Schlüsselinformationen in den Status Aktiv versetzt und für Verschlüsselungsoperationen verfügbar gemacht. Weitere Informationen zu verschiedenen Schlüsselstatuszuständen finden Sie im Abschnitt zum Überwachen des Lebenszyklus von Verschlüsselungsschlüsseln.
Rootschlüssel mit Hyper Protect Crypto Services wechseln
Beachten Sie die folgenden Hinweise, wenn Sie die Verwendung von Hyper Protect Crypto Services für die Rotation von Rootschlüsseln vorbereiten.
- Rootschlüssel wechseln, die in Hyper Protect Crypto Services generiert werden
- Sie können Hyper Protect Crypto Services verwenden, um einen Rootschlüssel, der in Hyper Protect Crypto Services generiert wurde, zu rotieren, indem Sie eine Rotationsrichtlinie für den Schlüssel festlegen oder indem Sie den Schlüssel bei Bedarf rotieren. Die Metadaten für den Rootschlüssel, wie z. B. die Schlüssel-ID, ändern sich nicht, wenn Sie den Schlüssel rotieren.
- Rootschlüssel wechseln, die Sie in den Service übertragen
- Zum Wechseln eines Rootschlüssels, den Sie ursprünglich in den Service importiert haben, müssen Sie neue Schlüsselinformationen für den Schlüssel generieren und bereitstellen. Sie können Hyper Protect Crypto Services zum Rotieren von importierten Rootschlüsseln bei Bedarf verwenden, indem Sie im Rahmen der Rotationsanforderung neues Schlüsselmaterial angeben. Die Metadaten für den Rootschlüssel, wie z. B. die Schlüssel-ID, ändern sich nicht, wenn Sie den Schlüssel rotieren. Da Sie neue Schlüsselinformationen zum Wechseln eines importierten Schlüssels bereitstellen müssen, stehen keine Richtlinien zur automatischen Rotation von Rootschlüsseln mit importierten Schlüsselinformationen zur Verfügung.
- Zurückgezogene Rootschlüsselinformationen verwalten
- Von Hyper Protect Crypto Services werden neue Schlüsselinformationen erstellt, wenn Sie einen Rootschlüssel gewechselt haben. Der Service zieht die alten Schlüsselinformationen zurück und behält die zurückgezogenen Versionen, bis der Rootschlüssel gelöscht wird. Wenn Sie den Rootschlüssel zur Envelope-Verschlüsselung verwenden, werden von Hyper Protect Crypto Services nur die letzten Schlüsselinformationen verwendet, die dem Schlüssel zugeordnet sind. Die zurückgezogenen Schlüsselinformationen können nicht mehr zum Schützen von Schlüsseln genutzt werden, bleiben jedoch für Operationen zum Aufheben eines Wrappings (Unwrapping) verfügbar. Wenn von Hyper Protect Crypto Services erkannt wird, dass Sie zurückgezogene Schlüsselinformationen für das Unwrapping von DEKs verwenden, stellt der Service einen neuen DEK mit Wrapping bereit, der auf den letzten Rootschlüsselinformationen basiert.
- Rootschlüsselrotation für IBM Cloud-Datenservices aktivieren
- Um diese Optionen für die Rootschlüsselrotation für Ihren Datenservice in IBM Cloud zu aktivieren, muss der Datenservice in Hyper Protect Crypto Services integriert werden. Weitere Informationen hierzu finden Sie in der Dokumentation für Ihren IBM Cloud-Datenservice oder in unserer Liste von integrierten Services.
Wenn Sie einen Rootschlüssel in Hyper Protect Crypto Services rotieren, fallen dafür keine zusätzlichen Gebühren an. Sie können weiterhin das Wrapping Ihrer Datenverschlüsselungsschlüssel (WDEKs) mit zurückgezogenen Schlüsselinformationen ohne Zusatzkosten aufheben. Weitere Informationen zu Ihren Preisoptionen finden Sie auf der Katalogseite für Hyper Protect Crypto Services.
Erläuterung des Prozesses der Rootschlüsselrotation
Im Hintergrund steuert die API des Hyper Protect Crypto Services-Schlüsselmanagementservice den Schlüsselrotationsprozess.
Das folgende Diagramm zeigt eine kontextbezogene Ansicht der Funktion für Schlüsselrotation.
Mit jeder Rotationsanforderung werden Ihrem Rootschlüssel von Hyper Protect Crypto Services neue Schlüsselinformationen zugeordnet.
Informationen zur Verwendung der API des Hyper Protect Crypto Services-Schlüsselmanagementservice für die Rotation Ihrer Rootschlüssel finden Sie unter Schlüssel rotieren.
Rewrapping von Daten nach Rotation eines Rootschlüssels durchführen
Nach Abschluss der Rootschlüsselrotation werden die neuen Rootschlüsselinformationen für den Schutz von Datenverschlüsselungsschlüsseln (DEKs) durch Envelope-Verschlüsselung verfügbar. Zurückgezogene Rootschlüsselinformationen werden in den Status 'Inaktiviert' versetzt, in dem sie nur zum Aufheben von Wrapping und zum Zugreifen auf ältere DEKs verwendet werden können, die noch nicht durch den neuesten Rootschlüssel geschützt sind.
Zur Absicherung Ihres Envelope-Verschlüsselungsablaufs führen Sie ein erneutes Wrapping Ihrer DEKs (Rewrapping) aus, nachdem Sie einen Rootschlüssel gewechselt haben, sodass Ihre ruhenden Daten durch den neuesten Rootschlüssel geschützt werden. Alternativ verschlüsselt der Service den DEK erneut, wenn von Hyper Protect Crypto Services erkannt wird, dass Sie zurückgezogene Rootschlüsselinformationen zum Aufheben des Wrappings eines DEK verwenden, und gibt einen Datenverschlüsselungsschlüssel mit Wrapping (WDEK) zurück, der auf dem neuesten Rootschlüssel basiert. Speichern Sie den neuen WDEK und verwenden Sie ihn für zukünftige Unwrapping-Operationen, sodass die DEKs mit den neuesten Rootschlüsselinformationen geschützt werden.
Informationen zur Verwendung der API des Hyper Protect Crypto Services-Schlüsselmanagementservice zum erneuten Wrapping von Datenverschlüsselungsschlüsseln finden Sie unter Erneutes Wrapping für Schlüssel.
Häufigkeit der Rootschlüsselrotation
Wenn Sie in Hyper Protect Crypto Services einen Rootschlüssel generiert haben, bestimmen Sie danach die Frequenz der Rotation. Sie können Ihre Schlüssel zum Beispiel aufgrund von Personalwechsel, aufgrund von Prozessstörungen oder aufgrund der internen Richtlinie für den Ablauf von Schlüsseln Ihrer Organisation wechseln.
Wechseln Sie Ihre Schlüssel regelmäßig, zum Beispiel alle 30 Tage, um bewährte Verfahren für Verschlüsselung umzusetzen.
| Rotationstyp | Frequenz | Beschreibung |
|---|---|---|
| Richtlinienbasierte Rootschlüsselrotation | Alle 1 - 12 Monate | Wählen Sie ein Rotationsintervall zwischen 1 und 12 Monaten für Ihren Schlüssel entsprechend Ihren aktuellen Sicherheitsanforderungen aus. Nachdem Sie eine Rotationsrichtlinie für einen Schlüssel festgelegt haben, beginnt die Uhr sofort
mit dem ursprünglichen Erstellungsdatum für den Schlüssel. Beispiel: Wenn Sie eine Richtlinie für monatliche Rotation für einen Schlüssel festlegen, den Sie am 2019/02/01 erstellt haben, wird der Schlüssel von Hyper Protect
Crypto Services automatisch am 2019/03/01 gewechselt. |
| Bedarfsgesteuerte Rootschlüsselrotation | Bis zu 1 Rotation pro Stunde | Wenn Sie einen Schlüssel bei Bedarf rotieren, lässt Hyper Protect Crypto Services eine Rotation pro Stunde für jeden Rootschlüssel zu. |
Nächste Schritte
- Informationen zur Verwendung von Hyper Protect Crypto Services zum Festlegen einer Richtlinie für automatische Rotation für einen einzelnen Schlüssel finden Sie unter Rotationsrichtlinie festlegen.
- Weitere Informationen zum manuellen Rotieren von Rootschlüsseln finden Sie im Abschnitt zum Bedarfsweisen Rotieren von Schlüssel.