Rotazione chiave root - Piano standard
Puoi ruotare le chiavi root gestite nella tua istanza Hyper Protect Crypto Services su richiesta o impostando una politica di rotazione. La rotazione della chiave si verifica quando si ritira il materiale della chiave originale e si genera un nuovo materiale della chiave crittografica per la chiave root.
La rotazione delle chiavi ti aiuta regolarmente a soddisfare gli standard di settore e le best practice di crittografia. La seguente tabella descrive i vantaggi principali della rotazione delle chiavi:
| Vantaggio | Descrizione |
|---|---|
| Gestione del periodo di crittografia per le chiavi | La rotazione della chiave limita per quanto tempo le tue informazioni vengono protette da una singola chiave. Eseguendo la rotazione delle tue chiavi root a intervalli regolari, puoi anche abbreviare il periodo di crittografia delle chiavi. Più lunga è la durata di una chiave di crittografia e più elevata è la probabilità di una violazione della sicurezza. |
| Mitigazione degli incidenti | Se la tua organizzazione rileva un problema di sicurezza, puoi eseguire immediatamente la rotazione della chiave per attenuare o ridurre i costi associati alla compromissione di una chiave. |
La rotazione delle chiavi è trattata in NIST Special Publication 800-57, Recommendation for Key Management. Per ulteriori informazioni, consultare NIST SP 800-57 Pt. 1 Rev. 5
Confronto delle tue opzioni di rotazione della chiave root
In Hyper Protect Crypto Services, puoi ruotare una chiave root su richiesta o impostando una politica di rotazione, senza dover tenere traccia del tuo materiale della chiave root ritirata.
- Configurazione di una politica di rotazione per una chiave
- Hyper Protect Crypto Services ti aiuta a semplificare la rotazione per le chiavi di crittografia abilitando le politiche di rotazione per le chiavi che generi nel servizio. Dopo che hai creato una chiave root, puoi gestire una politica di rotazione per la chiave nell'IU o con l'API. Scegli un intervallo di rotazione automatico tra 1 e 12 mesi per la tua chiave in base alle tue esigenze di sicurezza in corso. Quando è il momento di ruotare la chiave in base all'intervallo di rotazione che hai specificato, Hyper Protect Crypto Services sostituisce automaticamente la chiave con il nuovo materiale della chiave.
- Rotazione delle chiavi su richiesta
- In qualità di amministratore della sicurezza, potresti voler avere maggiore controllo sulla frequenza di rotazione delle tue chiavi. Se non vuoi impostare una politica di rotazione automatica per una chiave, puoi creare manualmente una nuova chiave per sostituirne una esistente e poi aggiornare le tue applicazioni in modo che facciano riferimento alla nuova chiave. Per semplificare questo processo, puoi utilizzare Hyper Protect Crypto Services per ruotare la chiave su richiesta. In questo scenario, Hyper Protect Crypto Services crea e sostituisce la chiave al tuo posto con ogni richiesta di rotazione. La chiave conserva gli stessi metadati e ID della chiave.
Come funziona la rotazione della chiave root
La rotazione della chiave root funziona transitando in modo sicuro il materiale della chiave da un Attivo a uno stato della chiave Disattivato. Per sostituire il materiale della chiave disattivata o ritirata, il nuovo materiale della chiave passa allo stato Attivo e diventa disponibile per le operazioni di crittografia. Per ulteriori informazioni sui diversi stati delle chiavi, vedi Monitoraggio del ciclo di vita delle chiavi di crittografia.
Utilizzo di Hyper Protect Crypto Services per ruotare le chiavi root
Tieni presenti le seguenti considerazioni quando ti prepari ad utilizzare Hyper Protect Crypto Services per ruotare le chiavi root.
- Rotazione delle chiavi root generate in Hyper Protect Crypto Services
- Puoi utilizzare Hyper Protect Crypto Services per ruotare una chiave root generata in Hyper Protect Crypto Services impostando una politica di rotazione per la chiave o ruotando la chiave su richiesta. I metadati per la chiave root, come l'ID chiave, non cambiano quando si ruota la chiave.
- Rotazione delle chiavi root che porti nel servizio
- Per ruotare una chiave root che hai inizialmente importato nel servizio, devi generare e fornire del nuovo materiale della chiave per la chiave. Puoi utilizzare Hyper Protect Crypto Services per ruotare le chiavi root importate su richiesta fornendo nuovo materiale chiave come parte della richiesta di rotazione. I metadati per la chiave root, come l'ID chiave, non cambiano quando si ruota la chiave. Poiché devi fornire il nuovo materiale della chiave per ruotare una chiave importata, non sono disponibili delle politiche di rotazione automatica per le chiavi root che hanno importato il materiale della chiave.
- Gestione del materiale della chiave root ritirata
- Hyper Protect Crypto Services crea del nuovo materiale della chiave dopo che hai ruotato una chiave root. Il servizio ritira il vecchio materiale della chiave e conserva le versioni ritirate finché la chiave root non viene eliminata. Quando utilizzi la chiave root per la crittografia envelope, Hyper Protect Crypto Services utilizza solo il materiale più recente associato alla chiave. Il materiale della chiave ritirato non può essere più utilizzato per proteggere le chiavi, ma rimane disponibile per le operazioni di spacchettamento. Se Hyper Protect Crypto Services rileva che stai utilizzando del materiale della chiave ritirato per spacchettare le DEK, il servizio fornisce una DEK appena impacchettata basata sul materiale della chiave root più recente.
- Abilitazione della rotazione della chiave root per servizi di dati IBM Cloud
- Per abilitare queste opzioni di rotazione della chiave root per il tuo servizio dati su IBM Cloud, il servizio dati deve essere integrato con Hyper Protect Crypto Services. Fai riferimento alla documentazione del tuo servizio dati IBM Cloud oppure controlla il nostro elenco di servizi integrati per ulteriori informazioni.
Quando ruoti una chiave root in Hyper Protect Crypto Services, non ti vengono addebitati costi aggiuntivi. Puoi continuare a spacchettare le tue WDEK (wrapped data encryption key) con il materiale della chiave ritirato senza alcun costo supplementare. Per ulteriori informazioni sulle nostre opzioni di prezzo, consulta la pagina del catalogo Hyper Protect Crypto Services.
Comprensione del processo di rotazione della chiave root
Dietro le quinte, l'API del servizio di gestione chiavi Hyper Protect Crypto Services guida il processo di rotazione delle chiavi.
Il seguente diagramma mostra una vista contestuale della funzionalità di rotazione chiave.
Con ciascuna richiesta di rotazione, Hyper Protect Crypto Services associa il nuovo materiale della chiave alla tua chiave root.
Per informazioni su come utilizzare l'API del servizio di gestione chiavi Hyper Protect Crypto Services per ruotare le tue chiavi root, vedi Rotazione delle chiavi.
Riavvolgimento dei dati dopo la rotazione di una chiave root
Una volta completata la rotazione di una chiave root, diventa disponibile nuovo materiale della chiave root per proteggere le DEK (data encryption key) con la crittografia envelope. Il materiale della chiave root ritirata passa allo stato Disattivato, dove può essere utilizzato solo per spacchettare e accedere alle DEK più vecchie che non sono ancora protette dalla chiave root più recente.
Per proteggere il tuo flusso di lavoro della crittografia envelope, reimpacchetta le tue DEK dopo che hai ruotato una chiave root in modo che i tuoi dati inattivi siano protetti dalla chiave root più recente. In alternativa, se Hyper Protect Crypto Services rileva che stai utilizzando del materiale della chiave root ritirato per spacchettare una DEK, il servizio crittografa nuovamente in modo automatico la DEK e restituisce una WDEK (wrapped data encryption key) che è basata sulla chiave root più recente. Archivia e usa la nuova WDEK per future operazioni di spacchettamento in modo che le DEK siano protette con il materiale della chiave root più recente.
Per informazioni su come utilizzare l'API del servizio di gestione delle chiavi Hyper Protect Crypto Services per riavvolgere le chiavi di crittografia dei dati, vedi Riavvolgimento delle chiavi.
Frequenza di rotazione della chiave root
Dopo che hai generato una chiave root in Hyper Protect Crypto Services, decidi la frequenza della rotazione. Potesti voler eseguire la rotazione delle tue chiavi per un avvicendamento del personale, un malfunzionamento del processo oppure in base alla politica interna di scadenza delle chiavi della tua organizzazione.
Esegui la rotazione delle tue chiavi regolarmente, ad esempio ogni 30 giorni, per soddisfare le prassi ottimali crittografiche.
| Tipo di rotazione | Frequenza | Descrizione |
|---|---|---|
| Rotazione della chiave root basata sulle politiche | Ogni 1 - 12 mesi | Scegli un intervallo di rotazione compreso tra 1 e 12 mesi per la tua chiave in base alle tue esigenze di sicurezza continuativa. Dopo che hai impostato una politica di rotazione per una chiave, l'orologio inizia immediatamente in base
alla data di creazione iniziale per la chiave. Ad esempio, se configuri una politica di rotazione mensile per una chiave che hai creato il 2019/02/01, Hyper Protect Crypto Services ruota automaticamente la chiave il 2019/03/01. |
| Rotazione della chiave root su richiesta | Fino a una rotazione per ora | Se stai ruotando una chiave su richiesta, Hyper Protect Crypto Services consente una rotazione all'ora per ogni chiave root. |
Operazioni successive
- Per ulteriori informazioni su come utilizzare Hyper Protect Crypto Services per configurare una politica di rotazione automatica per una singola chiave, vedi Configurazione di una politica di rotazione.
- Per ulteriori informazioni sulla rotazione manuale delle chiavi root, vedi Rotazione delle chiavi su richiesta.