Ensure Automatic Key Rotation is Enabled Within Azure Key Vault for the Supported Services

Warum dies wichtig ist

Wenn die automatische Schlüsselrotation nicht aktiviert ist, müssen Sie die Verschlüsselungsschlüssel in Azure Key Vault manuell aktualisieren, bevor sie ablaufen. Dies birgt ein operatives Risiko: Abgelaufene Schlüssel können zu Dienstunterbrechungen für Speicherkonten, verwaltete Datenträger und andere abhängige Dienste führen, die auf diese Schlüssel angewiesen sind. Durch die Konfiguration der automatischen Rotation werden Schlüssel automatisch gemäß der Richtlinie Ihrer Organisation erneuert, was den Verwaltungsaufwand reduziert und unbeabsichtigte Ausfallzeiten verhindert.

Was Aether365 prüft

Aether365 überprüft, ob die automatische Schlüsselrotation für Schlüssel in Azure Key Vault aktiviert ist, die diese Funktion unterstützen. Diese Prüfung wird in Ihrem Aether365-Dashboard unter der Kategorie azure-azure-keyvault angezeigt.

Behebung des Problems

Führen Sie die folgenden Schritte aus, um die automatische Schlüsselrotation über das Azure Portal zu aktivieren:

1. Öffnen Sie das Azure Portal und navigieren Sie zu Key Vaults.
2. Wählen Sie den Key Vault aus, den Sie überprüfen möchten.
3. Wählen Sie unter Objects die Option Keys.
4. Wählen Sie den Schlüssel aus, den Sie konfigurieren möchten.
5. Klicken Sie in der oberen Menüleiste auf Rotation policy.
6. Legen Sie eine Ablaufzeit (Expiry time) für den Schlüssel fest.
7. Setzen Sie Enable auto rotation auf Enabled.
8. Konfigurieren Sie die Option Rotation und die Rotation time entsprechend der Richtlinie Ihrer Organisation (eine Schlüssellebensdauer von 2 Jahren wird empfohlen).
9. Optional: Legen Sie eine Benachrichtigungszeit (Notification time) fest, um vor der Rotation benachrichtigt zu werden.
10. Klicken Sie auf Save, um die Richtlinie zu übernehmen.
11. Wiederholen Sie diese Schritte für jeden Key Vault und Schlüssel in Ihrer Umgebung.

Compliance

• CIS Microsoft Azure Foundations 3.0.0 3.3.8 (Level 2)

Verwandte Ressourcen

• Configure key rotation in Azure Key Vault
• Customer-managed keys for Azure Storage encryption
• Set up Azure Key Vault and DiskEncryptionSet with automatic key rotation
• Public preview: Automatic key rotation for customer-managed keys
• Azure CLI: rotation-policy update

Microsoft references

• How to configure key rotation
• Customer managed keys overview
• Disks enable customer managed keys powershell
• Public preview automatic key rotation of customermanaged keys for encrypting azure managed disks
• Rotation policy