Rotation von Verschlüsselungsschlüsseln

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Führen Sie die Rotation von Verschlüsselungsschlüsseln aus der Instanz aus. Fügen Sie einen neuen Schlüssel hinzu, ändern Sie die Standardschlüsselzuordnung, und planen Sie dann einen Massenschlüssel-Rotationsauftrag oder eine Einzelschlüsselrotation.

    Bevor Sie einen Verschlüsselungsschlüssel als Standardschlüssel festlegen, stellen Sie den Schlüssel für jeden Proxy zur Verfügung. Dadurch wird sichergestellt, dass die Proxys den Schlüssel zur Verschlüsselung von Daten haben, wenn der Schlüssel als Standardschlüssel zugewiesen wird. Alle Proxys müssen Zugriff auf einen Schlüssel haben, bevor dieser Schlüssel als Standardschlüssel zugewiesen werden kann.

    Warnung:
    Bevor Sie einen Schlüssel aus dem Proxy löschen, müssen Sie einen Massenschlüssel-Rotationsauftrag einrichten und ausführen, um sicherzustellen, dass keine Daten in der Instanz den Schlüssel verwenden. Wenn noch Daten mit diesem Schlüssel verschlüsselt sind, können Sie die Informationen nicht mehr entschlüsseln, nachdem der Schlüssel gelöscht wurde.

    Edge-Filterung und Sortierverhalten

    Stellen Sie jedes Mal, wenn Sie Standardschlüssel ändern, sicher, dass Sie eine Schlüsselrotation (Massen- oder Einzelschlüsselrotation) durchführen. Andernfalls erhalten Sie unter Umständen unerwartete Ergebnisse beim Sortieren und Filtern von Datensätzen. Stellen Sie sich zum Beispiel das folgende Szenario vor:
    1. Sie erstellen mit einem einzigen Verschlüsselungsschlüssel verschlüsselte Datensätze.
    2. Sie erstellen einen neuen Schlüssel und legen diesen als Standard fest.
    3. Sie erstellen mit dem neuen Verschlüsselungsschlüssel einen neuen Satz verschlüsselter Datensätze.
    Wenn Sie nach einem beliebigen verschlüsselten Feld filtern, während eine Verbindung über den Edge-Proxy hergestellt ist, werden möglicherweise nicht alle Datensätze richtig herausgefiltert, oder es werden gegebenenfalls Datensätze unerwarteterweise angezeigt. Der Filter funktioniert nur für Datensätze, die mit dem aktuellen Standardschlüssel verschlüsselt sind. Die Datensätze, die mit dem vorherigen Standardschlüssel verschlüsselt wurden, werden weiterhin in der Listenansicht angezeigt.

    Wenn Sie nach einem beliebigen verschlüsselten Feld sortieren, während eine Verbindung über den Edge-Proxy hergestellt ist, werden zwei Gruppen von Datensätzen mit demselben visuell lesbaren Text im verschlüsselten Feld angezeigt.

    Einen Einzelschlüssel-Rotationsauftrag planen

    Planen Sie einen Auftrag, um Daten zu finden, die mit einem bestimmten Schlüsselalias verschlüsselt sind, und verschlüsseln Sie die Daten dann erneut mit dem aktuellen Standardverschlüsselungsschlüssel. Die Daten werden entschlüsselt, bevor sie mit dem Standardschlüssel erneut verschlüsselt werden.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Aktualisieren Sie vor der Planung dieser Aufgabe den Standardschlüssel in Konfiguration der Edge Encryption > Konfiguration des Verschlüsselungsschlüssels > Standardschlüssel festlegen.

    Prozedur

    1. Navigieren zu Konfiguration der Edge Encryption > Reserviert > Einzelschlüsselrotation planen.
    2. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Wert
      Name Geben Sie einen beschreibenden Namen ein.
      Auftragsart Wählen Sie Einzelschlüsselrotation.
      Schlüssel Geben Sie den Schlüssel ein, der stillgelegt werden soll. Vergewissern Sie sich, dass dieser Schlüssel nicht mehr der Standardschlüssel in ist Konfiguration der Edge Encryption > Konfiguration des Verschlüsselungsschlüssels > Standardschlüssel festlegen.
      Anzahl der Datensätze schätzen Geschätzte Gesamtzahl der zu verarbeitenden Datensätze. Nicht verfügbar, wenn eine Einzelschlüsselrotation ausgeführt wird.
      Historische Datensätze verarbeiten

      Wählen Sie diese Option aus, um historische Datensätze in der Audit-Tabelle zu verarbeiten, wenn das Feld geprüft wird. Wenn Sie historische Datensätze für ein Feld in der Audit-Tabelle verschlüsseln, werden sowohl neue als auch alte Werte verschlüsselt. Dieses Feld ist schreibgeschützt und aktiv.

      Weitere Informationen zu geprüften Feldern finden Sie unter Auditing.
      Schätzen Sie die maximale Anzahl der Audit-Datensätze Geschätzte maximale Anzahl der Audit-Datensätze, die verarbeitet werden sollen. Nicht verfügbar, wenn eine Einzelschlüsselrotation ausgeführt wird.
      Aktiv Deaktivieren Sie dieses Kontrollkästchen, wenn Sie diesen Auftrag deaktivieren möchten.
      Ausführen Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
      Wird gestartet Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.
    3. Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
      Anzahl der Datensätze schätzen wird bei der Verarbeitung geprüfter Felder nicht unterstützt.

    Einen Massenschlüssel-Rotationsauftrag planen

    Planen Sie einen Auftrag, um nach mit einem vorherigen Schlüssel verschlüsselten Daten zu suchen, und verschlüsseln Sie die Daten anschließend erneut mit den aktuellen Standard-Verschlüsselungsschlüsseln. Die Daten werden entschlüsselt, bevor sie mit dem aktuellen Standardschlüssel erneut verschlüsselt werden.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Prozedur

    1. Navigieren zu Alle > Konfiguration der Edge Encryption > Reserviert > Schlüsselmassenrotation planen.
    2. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Wert
      Name Geben Sie einen beschreibenden Namen ein.
      Auftragsart Wählen Sie Massenschlüsselrotation.
      Schätzen Sie die Anzahl der Datensätze Geschätzte Gesamtzahl der zu verarbeitenden Datensätze. Nicht verfügbar, wenn eine Massenrotation ausgeführt wird.
      Historische Datensätze verarbeiten

      Wählen Sie diese Option aus, um historische Datensätze in der Audit-Tabelle zu verarbeiten, wenn das Feld geprüft wird. Wenn Sie historische Datensätze für ein Feld in der Audit-Tabelle verschlüsseln, werden sowohl neue als auch alte Werte verschlüsselt. Dieses Feld ist schreibgeschützt und aktiv.

      Weitere Informationen zu geprüften Feldern finden Sie unter Auditing.
      Schätzen Sie die maximale Anzahl der Audit-Datensätze Geschätzte maximale Anzahl der Audit-Datensätze, die verarbeitet werden sollen. Nicht verfügbar, wenn eine Massenrotation ausgeführt wird.
      Aktiv Deaktivieren Sie dieses Kontrollkästchen, um diesen Auftrag zu deaktivieren.
      Ausführen Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
      Wird gestartet Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.
    3. Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
      Anzahl der Datensätze schätzen wird bei der Verarbeitung geprüfter Felder nicht unterstützt.

    Einen Rotationsauftrag für einen Anhangsschlüssel planen

    Planen Sie einen Auftrag, um mit einem bestimmten Schlüsselalias verschlüsselte Anhänge zu finden, und verschlüsseln Sie die Anhänge dann erneut mit dem aktuellen Standardverschlüsselungsschlüssel. Der Anhang wird entschlüsselt, bevor er mit dem Standardschlüssel erneut verschlüsselt wird.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Prozedur

    1. Navigieren zu Alle > Konfiguration der Edge Encryption > Reserviert > Anhangsschlüsselrotation planen.
    2. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Wert
      Name Geben Sie einen beschreibenden Namen ein.
      Auftragsart Wählen Sie Anhangsschlüsselrotation.
      Aktiv Deaktivieren Sie das Häkchen, wenn Sie diesen Auftrag deaktivieren möchten.
      Tabelle Wählen Sie eine Tabelle.
      Ausführen Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
      Wird gestartet Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.
    3. Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
    4. Um eine geschätzte Anzahl von Datensätzen anzuzeigen, die aktualisiert werden sollen, klicken Sie auf Geschätzte Datensatzanzahl.
    5. Um den Auftrag sofort auszuführen, klicken Sie auf Jetzt ausführen.