Rotation von Verschlüsselungsschlüsseln

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Führen Sie die Rotation von Verschlüsselungsschlüsseln aus der Instanz aus. Fügen Sie einen neuen Schlüssel hinzu, ändern Sie die Standardschlüsselzuweisung, und planen Sie dann eine Massenschlüsselrotation oder eine Einzelschlüsselrotation.

    Bevor Sie einen Verschlüsselungsschlüssel als Standardschlüssel festlegen, stellen Sie den Schlüssel für jeden Proxy zur Verfügung. Dadurch wird sichergestellt, dass die Proxys den Schlüssel zur Verschlüsselung von Daten haben, wenn der Schlüssel als Standardschlüssel zugewiesen wird. Alle Proxys müssen Zugriff auf einen Schlüssel haben, bevor dieser Schlüssel als Standardschlüssel zugewiesen werden kann.

    Warnung:
    Bevor Sie einen Schlüssel vom Proxy löschen, richten Sie einen Massenschlüsselrotationsauftrag ein, und führen Sie ihn aus, um sicherzustellen, dass keine Daten in der Instanz den Schlüssel verwenden. Wenn noch Informationen mit diesem Schlüssel verschlüsselt sind, können Sie sie nicht entschlüsseln, nachdem Sie den Schlüssel gelöscht haben.

    Edge-Filter- und Sortierverhalten

    Wenn Sie Standardschlüssel ändern, führen Sie eine Schlüsselrotation durch (entweder Massen- oder Einzelschlüsselrotation). Andernfalls erhalten Sie beim Sortieren und Filtern von Datensätzen möglicherweise unerwartete Ergebnisse. Stellen Sie sich zum Beispiel das folgende Szenario vor:
    1. Verschlüsselte Datensätze erstellen Sie mit einem Verschlüsselungsschlüssel.
    2. Sie erstellen einen neuen Schlüssel und legen ihn als Standard fest.
    3. Mit dem neuen Verschlüsselungsschlüssel erstellen Sie einen neuen Satz verschlüsselter Datensätze.
    Wenn Sie bei einer Verbindung über den Edge-Proxy nach einem verschlüsselten Feld filtern, werden möglicherweise nicht alle Datensätze ordnungsgemäß herausgefiltert, oder Datensätze werden unerwartet angezeigt. Der Filter funktioniert nur für Datensätze, die mit dem aktuellen Standardschlüssel verschlüsselt sind. Die mit dem vorherigen Standardschlüssel verschlüsselten Datensätze werden weiterhin in der Listenansicht angezeigt.

    Wenn Sie bei einer Verbindung über den Edge-Proxy nach einem verschlüsselten Feld sortieren, werden im verschlüsselten Feld zwei Gruppen von Datensätzen mit demselben visuell lesbaren Text angezeigt.

    Planen Sie einen einzelnen Schlüsselrotationsauftrag

    Planen Sie einen Auftrag, um Daten zu finden, die mit einem bestimmten Schlüsselalias verschlüsselt sind, und verschlüsseln Sie die Daten dann erneut mit dem aktuellen Standardverschlüsselungsschlüssel. Die Daten werden entschlüsselt, bevor sie mit dem Standardschlüssel erneut verschlüsselt werden.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Aktualisieren Sie vor dem Planen dieses Auftrags den Standardschlüssel in Konfiguration der Edge Encryption > Konfiguration des Verschlüsselungsschlüssels > Standardschlüssel festlegen.

    Prozedur

    1. Navigieren zu Konfiguration der Edge Encryption > Reserviert > Einzelschlüsselrotation planen.
    2. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Wert
      Name Geben Sie einen beschreibenden Namen ein.
      Auftragsart Wählen Sie Einzelschlüsselrotation.
      Schlüssel Geben Sie den Schlüssel ein, der stillgelegt werden soll. Stellen Sie sicher, dass dieser Schlüssel nicht mehr der Standardschlüssel in ist Konfiguration der Edge Encryption > Konfiguration des Verschlüsselungsschlüssels > Standardschlüssel festlegen.
      Schätzen Sie die Anzahl der Datensätze Geschätzte Gesamtzahl der zu verarbeitenden Datensätze. Nicht verfügbar, wenn eine Einzelschlüsselrotation ausgeführt wird.
      Historische Datensätze verarbeiten

      Wählen Sie diese Option aus, um historische Datensätze in der Audit-Tabelle zu verarbeiten, wenn das Feld geprüft wird. Wenn Sie historische Datensätze für ein Feld in der Audit-Tabelle verschlüsseln, werden sowohl neue als auch alte Werte verschlüsselt. Dieses Feld ist schreibgeschützt und aktiv.

      Weitere Informationen zu geprüften Feldern finden Sie unter Auditing.
      Schätzen Sie die maximale Anzahl der Audit-Datensätze Geschätzte maximale Anzahl der Audit-Datensätze, die verarbeitet werden sollen. Nicht verfügbar, wenn eine Einzelschlüsselrotation ausgeführt wird.
      Aktiv Deaktivieren Sie dieses Kontrollkästchen, wenn Sie diesen Auftrag deaktivieren möchten.
      Ausführen Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
      Wird gestartet Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.
    3. Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
      Anzahl der Datensätze schätzen wird bei der Verarbeitung geprüfter Felder nicht unterstützt.

    Einen Massenschlüssel-Rotationsauftrag planen

    Planen Sie einen Auftrag, um nach mit einem vorherigen Schlüssel verschlüsselten Daten zu suchen, und verschlüsseln Sie die Daten anschließend erneut mit den aktuellen Standard-Verschlüsselungsschlüsseln. Die Daten werden entschlüsselt, bevor sie mit dem aktuellen Standardschlüssel erneut verschlüsselt werden.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Prozedur

    1. Navigieren zu Alle > Konfiguration der Edge Encryption > Reserviert > Schlüsselmassenrotation planen.
    2. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Wert
      Name Geben Sie einen beschreibenden Namen ein.
      Auftragsart Wählen Sie Massenschlüsselrotation.
      Schätzen Sie die Anzahl der Datensätze Geschätzte Gesamtzahl der zu verarbeitenden Datensätze. Nicht verfügbar, wenn eine Massenrotation ausgeführt wird.
      Historische Datensätze verarbeiten

      Wählen Sie diese Option aus, um historische Datensätze in der Audit-Tabelle zu verarbeiten, wenn das Feld geprüft wird. Wenn Sie historische Datensätze für ein Feld in der Audit-Tabelle verschlüsseln, werden sowohl neue als auch alte Werte verschlüsselt. Dieses Feld ist schreibgeschützt und aktiv.

      Weitere Informationen zu geprüften Feldern finden Sie unter Auditing.
      Schätzen Sie die maximale Anzahl der Audit-Datensätze Geschätzte maximale Anzahl der Audit-Datensätze, die verarbeitet werden sollen. Nicht verfügbar, wenn eine Massenrotation ausgeführt wird.
      Aktiv Deaktivieren Sie dieses Kontrollkästchen, um diesen Auftrag zu deaktivieren.
      Ausführen Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
      Wird gestartet Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.
    3. Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
      Anzahl der Datensätze schätzen wird bei der Verarbeitung geprüfter Felder nicht unterstützt.

    Einen Rotationsauftrag für einen Anhangsschlüssel planen

    Planen Sie einen Auftrag, um mit einem bestimmten Schlüsselalias verschlüsselte Anhänge zu finden, und verschlüsseln Sie die Anhänge dann erneut mit dem aktuellen Standardverschlüsselungsschlüssel. Der Anhang wird entschlüsselt, bevor er mit dem Standardschlüssel erneut verschlüsselt wird.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Prozedur

    1. Navigieren zu Alle > Konfiguration der Edge Encryption > Reserviert > Anhangsschlüsselrotation planen.
    2. Füllen Sie die entsprechenden Felder im Formular aus.
      Feld Wert
      Name Geben Sie einen beschreibenden Namen ein.
      Auftragsart Wählen Sie Anhangsschlüsselrotation.
      Aktiv Deaktivieren Sie das Häkchen, wenn Sie diesen Auftrag deaktivieren möchten.
      Tabelle Wählen Sie eine Tabelle.
      Ausführen Wählen Sie den Zeitraum zwischen den Auftragsausführungen.
      Wird gestartet Geben Sie das Datum und die Uhrzeit ein, zu der der Auftrag zum ersten Mal ausgeführt werden soll.
    3. Klicken Sie auf das Menüsymbol in der Formular-Kopfzeile und wählen Sie Speichern.
    4. Um eine geschätzte Anzahl von Datensätzen anzuzeigen, die aktualisiert werden sollen, klicken Sie auf Geschätzte Datensatzanzahl.
    5. Um den Auftrag sofort auszuführen, klicken Sie auf Jetzt ausführen.