Share via

تكوين تشفير القرص لذاكرة التخزين المؤقت Azure لمثيلات Redis باستخدام المفاتيح المدارة من قبل العميل

  • مقالة

يتم تخزين البيانات في خادم Redis في الذاكرة بشكل افتراضي. هذه البيانات غير مشفرة. يمكنك تنفيذ التشفير الخاص بك على البيانات قبل كتابتها إلى ذاكرة التخزين المؤقت. في بعض الحالات، يمكن أن تتواجد البيانات على القرص، إما بسبب عمليات نظام التشغيل، أو بسبب الإجراءات المتعمدة لاستمرار البيانات باستخدام التصدير أو استمرار البيانات.

يوفر Azure Cache for Redis مفاتيح مدارة بواسطة النظام الأساسي (PMKs)، تعرف أيضا كمفاتيح مدارة من قبل Microsoft (MMKs)، بشكل افتراضي لتشفير البيانات على القرص في جميع المستويات. توفر مستويات Enterprise وEnterprise Flash في Azure Cache for Redis بالإضافة إلى ذلك القدرة على تشفير نظام التشغيل وأقراص استمرارية البيانات باستخدام مفتاح مدار من قبل العميل (CMK). يمكن استخدام المفاتيح المدارة من قبل العميل لتضمين MMKs للتحكم في الوصول إلى هذه المفاتيح. وهذا يجعل CMK مفتاح تشفير مفتاح أو KEK. لمزيد من المعلومات، راجع إدارة المفاتيح في Azure.

نطاق توفر تشفير قرص CMK

المستوى أساسي ،وقياسي، ومتميز Enterprise وEnterprise Flash
المفاتيح المدارة من Microsoft (MMK) ‏‏نعم‬ ‏‏نعم‬
المفاتيح المدارة من قبل العميل (CMK) لا ‏‏نعم‬

تحذير

بشكل افتراضي، تستخدم جميع مستويات Azure Cache for Redis المفاتيح المدارة من Microsoft لتشفير الأقراص التي تم تحميلها إلى مثيلات ذاكرة التخزين المؤقت. ومع ذلك، في المستويات الأساسية والقياسية، لا تدعم وحدات SKU C0 وC1 أي تشفير للقرص.

هام

في المستوى Premium، يقوم استمرار البيانات ببث البيانات مباشرة إلى Azure Storage، لذا فإن تشفير القرص أقل أهمية. يوفر Azure Storage مجموعة متنوعة من أساليب التشفير لاستخدامها بدلا من ذلك.

تغطية التشفير

مستخدمو المؤسسة

في طبقة Enterprise ، يتم استخدام تشفير القرص لتشفير القرص الثابت والملفات المؤقتة وقرص نظام التشغيل:

  • قرص الثبات: يحتفظ بملفات RDB أو AOF المستمرة كجزء من استمرار البيانات
  • الملفات المؤقتة المستخدمة في التصدير: يتم تشفير البيانات المؤقتة المستخدمة في التصدير. عند تصدير البيانات، يتم التحكم في تشفير البيانات المصدرة النهائية بواسطة الإعدادات في حساب التخزين.
  • قرص نظام التشغيل

يتم استخدام MMK لتشفير هذه الأقراص بشكل افتراضي، ولكن يمكن أيضا استخدام CMK.

في طبقة Enterprise Flash، يتم أيضا تخزين المفاتيح والقيم جزئيا على القرص باستخدام التخزين السريع للذاكرة غير القابلة للvolatile (NVMe). ومع ذلك، فإن هذا القرص ليس هو نفسه القرص المستخدم للبيانات المستمرة. بدلا من ذلك، تكون سريعة الزوال، ولا تستمر البيانات بعد إيقاف ذاكرة التخزين المؤقت أو إلغاء تخصيصها أو إعادة تمهيدها. يتم دعم MMK فقط على هذا القرص لأن هذه البيانات عابرة و سريعة الزوال.

البيانات المخزنة القرص خيارات التشفير
ملفات الثبات قرص الثبات MMK أو CMK
ملفات RDB في انتظار تصديرها قرص نظام التشغيل وقرص الثبات MMK أو CMK
المفاتيح والقيم (مستوى Enterprise Flash فقط) قرص NVMe عابر MMK

المستويات الأخرى

في المستويات الأساسية والقياسية والمتميزة، يتم تشفير قرص نظام التشغيل بشكل افتراضي باستخدام MMK. لا يوجد قرص استمرار مثبت ويتم استخدام Azure Storage بدلا من ذلك. لا تستخدم وحدات SKU C0 وC1 تشفير القرص.

المتطلبات الأساسية والقيود

المتطلبات الأساسية والقيود العامة

  • تشفير القرص غير متوفر في المستويات الأساسية والقياسية لوحدات SKU C0 أو C1
  • يتم دعم الهوية المدارة المعينة من قبل المستخدم فقط للاتصال ب Azure Key Vault. الهوية المدارة المعينة من قبل النظام غير مدعومة.
  • يؤدي التغيير بين MMK وCMK على مثيل ذاكرة التخزين المؤقت الموجودة إلى تشغيل عملية صيانة طويلة الأمد. لا نوصي بهذا لاستخدام الإنتاج بسبب حدوث انقطاع في الخدمة.

متطلبات وقيود Azure Key Vault

كيفية تكوين تشفير CMK على ذاكرة التخزين المؤقت للمؤسسة

استخدم المدخل لإنشاء ذاكرة تخزين مؤقت جديدة مع تمكين CMK

  1. سجل الدخول إلى مدخل Microsoft Azure وابدأ دليل التشغيل السريع إنشاء ذاكرة التخزين المؤقت ل Redis Enterprise.

  2. في الصفحة خيارات متقدمة ، انتقل إلى القسم المسمى تشفير المفتاح المدار من قبل العميل في وضع الراحة وقم بتمكين الخيار استخدام مفتاح مدار من قبل العميل.

    Screenshot of the advanced settings with customer-managed key encryption checked and in a red box.

  3. حدد Add لتعيين هوية مدارة معينة من قبل المستخدم إلى المورد. يتم استخدام هذه الهوية المدارة للاتصال بمثيل Azure Key Vault الذي يحتوي على المفتاح المدار للعميل.

    Screenshot showing user managed identity in the working pane.

  4. حدد الهوية المدارة المعينة من قبل المستخدم الذي اخترته، ثم اختر أسلوب إدخال المفتاح الذي تريد استخدامه.

  5. إذا كنت تستخدم تحديد مخزن مفاتيح Azure وطريقة إدخال المفتاح ، فاختر مثيل Key Vault الذي يحتوي على المفتاح المدار من قبل العميل. يجب أن يكون هذا المثيل في نفس منطقة ذاكرة التخزين المؤقت.

    إشعار

    للحصول على إرشادات حول كيفية إعداد مثيل Azure Key Vault، راجع دليل التشغيل السريع ل Azure Key Vault. يمكنك أيضا تحديد ارتباط Create a key vault أسفل تحديد Key Vault لإنشاء مثيل Key Vault جديد. تذكر أنه يجب تمكين كل من الحماية من الإزالة والحذف المبدئي في مثيل Key Vault.

  6. اختر المفتاح والإصدار المحددين باستخدام المفتاح المدار من قبل العميل (RSA) والإصدارات المنسدلة.

    Screenshot showing the select identity and key fields completed.

  7. إذا كنت تستخدم أسلوب إدخال URI ، أدخل معرف المفتاح URI للمفتاح الذي اخترته من Azure Key Vault.

  8. عند إدخال جميع المعلومات لذاكرة التخزين المؤقت، حدد Review + create.

إضافة تشفير CMK إلى ذاكرة التخزين المؤقت للمؤسسة الموجودة

  1. انتقل إلى التشفير في قائمة الموارد لمثيل ذاكرة التخزين المؤقت. إذا تم إعداد CMK بالفعل، فسترى المعلومات الرئيسية.

  2. إذا لم تقم بإعداد أو إذا كنت تريد تغيير إعدادات CMK، فحدد تغيير إعدادات التشفيرScreenshot encryption selected in the Resource menu for an Enterprise tier cache.

  3. حدد استخدام مفتاح مدار من قبل العميل لمشاهدة خيارات التكوين الخاصة بك.

  4. حدد Add لتعيين هوية مدارة معينة من قبل المستخدم إلى المورد. يتم استخدام هذه الهوية المدارة للاتصال بمثيل Azure Key Vault الذي يحتوي على المفتاح المدار للعميل.

  5. حدد الهوية المدارة المعينة للمستخدم الذي اخترته، ثم اختر طريقة الإدخال الرئيسية التي يجب استخدامها.

  6. إذا كنت تستخدم تحديد مخزن مفاتيح Azure وطريقة إدخال المفتاح ، فاختر مثيل Key Vault الذي يحتوي على المفتاح المدار من قبل العميل. يجب أن يكون هذا المثيل في نفس منطقة ذاكرة التخزين المؤقت.

    إشعار

    للحصول على إرشادات حول كيفية إعداد مثيل Azure Key Vault، راجع دليل التشغيل السريع ل Azure Key Vault. يمكنك أيضا تحديد ارتباط Create a key vault أسفل تحديد Key Vault لإنشاء مثيل Key Vault جديد.

  7. اختر المفتاح المحدد باستخدام القائمة المنسدلة للمفتاح المدار بواسطة العميل (RSA ). إذا كان هناك إصدارات متعددة من المفتاح للاختيار من بينها، فاستخدم القائمة المنسدلة الإصدار . Screenshot showing the select identity and key fields completed for Encryption.

  8. إذا كنت تستخدم أسلوب إدخال URI ، أدخل معرف المفتاح URI للمفتاح الذي اخترته من Azure Key Vault.

  9. حدد حفظ

الخطوات التالية

تعرف على المزيد حول Azure Cache لميزات Redis: