Merotasi kunci keamanan cluster Anda

Rotasi Kunci

Rotasi kunci adalah tindakan mengubah materi kriptografi dasar yang terkandung dalam kunci enkripsi kunci (KEK). Hal ini dapat dipicu secara manual, biasanya setelah insiden keamanan ketika kunci mungkin telah disusupi. Rotasi kunci hanya mengganti satu kolom dalam kunci yang berisi data kunci enkripsi/dekripsi mentah.

Untuk merotasi kunci enkripsi yang dikelola pelanggan, lakukan langkah-langkah berikut:

  1. Buat versi kunci Azure Key Vault baru.

  2. Setelah rotasi kunci, Secret baru akan dienkripsi menggunakan kunci baru tersebut. Old Secret akan tetap didekripsi menggunakan kunci lama. Cluster menyimpan informasi kunci beserta cipher untuk membantu dekripsi setelah rotasi kunci.

    Paksa cluster untuk mengenkripsi ulang semua secret menggunakan kunci baru:

    kubectl get secrets --all-namespaces -o json | \
    kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`