Configurer le chiffrement de disque pour les instances Azure Cache pour Redis à l’aide de clés gérées par le client

  • Article

Les données d’un serveur Redis sont stockées en mémoire par défaut. Ces données ne sont pas chiffrées. Vous pouvez implémenter votre propre chiffrement sur les données avant de les écrire dans le cache. Dans certains cas, les données peuvent résider sur le disque, soit en raison des opérations du système d’exploitation, soit en raison d’actions délibérées de conservation des données à l’aide de l’exportation ou de la persistance des données.

Azure Cache pour Redis propose des clés gérées par la plateforme (PMK), également appelées clés managées par Microsoft (MMK), par défaut pour chiffrer les données sur le disque à tous les niveaux. Les niveaux Enterprise et Enterprise Flash d’Azure Cache pour Redis offrent également la possibilité de chiffrer les disques du système d’exploitation et de la persistance des données avec une clé gérée par le client (CMK). Les clés gérées par le client peuvent être utilisées pour envelopper les MMK pour contrôler l’accès à ces clés. Cela fait de la CMK une clé de chiffrement de clé ou KEK (Key Encryption Key). Pour plus d’informations, consultez Gestion des clés dans Azure.

Étendue de disponibilité pour le chiffrement de disque CMK

Niveau De base, Standard, Premium Enterprise, Enterprise Flash
Clés gérées par Microsoft (MMK) Oui Oui
Clés gérées par le client (CMK) Non Oui

Avertissement

Par défaut, tous les niveaux Azure Cache pour Redis utilisent des clés gérées par Microsoft pour chiffrer les disques montés sur des instances de cache. Toutefois, aux niveaux De base et Standard, les références SKU C0 et C1 ne prennent pas en charge le chiffrement de disque.

Important

Sur le niveau Premium, la persistance des données transmet les données directement au Stockage Azure, de sorte que le chiffrement de disque est moins important. Stockage Azure offre une variété de méthodes de chiffrement à utiliser à la place.

Couverture du chiffrement

Niveaux Entreprise

Au niveau Enterprise, le chiffrement de disque est utilisé pour chiffrer le disque de persistance, les fichiers temporaires et le disque du système d’exploitation :

  • Disque de persistance : contient des fichiers RDB ou AOF persistants dans le cadre de la persistance des données
  • Fichiers temporaires utilisés dans l’exportation : les données temporaires utilisées exportées sont chiffrées. Lorsque vous exportez des données, le chiffrement des données exportées finales est contrôlé par les paramètres du compte de stockage.
  • Disque du système d’exploitation

MMK est utilisé pour chiffrer ces disques par défaut, mais CMK peut également être utilisé.

Au niveau Enterprise Flash, les clés et les valeurs sont également partiellement stockées sur le disque à l’aide du stockage flash NVMe (mémoire express non volatile). Toutefois, ce disque n’est pas le même que celui utilisé pour les données persistantes. Au lieu de cela, il est éphémère et les données ne sont pas conservées une fois le cache arrêté, libéré ou redémarré. La clé MMK est prise en charge uniquement sur ce disque, car ces données sont temporaires et éphémères.

Données stockées Disque Options de chiffrement
Fichiers de persistance Disque de persistance MMK ou CMK
Fichiers RDB en attente d’exportation Disque du système d’exploitation et disque de persistance MMK ou CMK
Clés et valeurs (niveau Enterprise Flash uniquement) Disque NVMe temporaire MMK

Autres niveaux

Aux niveaux De base, Standard et Premium, le disque du système d’exploitation est chiffré par défaut avec MMK. Il n’y a pas de disque de persistance monté et Stockage Azure est utilisé à la place. Les références SKU C0 et C1 n’utilisent aucun chiffrement de disque.

Conditions préalables et limitations

Conditions préalables générales et limitations

  • Le chiffrement de disque n’est pas disponible dans les niveaux De base et Standard pour les références SKU C0 ou C1
  • Seule l’identité managée attribuée par l’utilisateur est prise en charge pour se connecter à Azure Key Vault. L’identité managée affectée par le système n’est pas prise en charge.
  • Le changement entre MMK et CMK sur une instance de cache existant déclenche une opération de maintenance de longue durée. Nous vous déconseillons de l’utiliser en production, car une interruption de service se produit.

Prérequis et limitations d’Azure Key Vault

  • La ressource Azure Key Vault contenant la clé gérée par le client doit se trouver dans la même région que la ressource de cache.
  • La protection contre la purge et la suppression réversible doivent être activées dans l’instance Azure Key Vault. La protection contre la purge n’est pas activée par défaut.
  • Lorsque vous utilisez des règles de pare-feu dans Azure Key Vault, l’instance Key Vault doit être configurée pour autoriser les services approuvés.
  • Seules les clés RSA sont prises en charge
  • L’identité managée attribuée par l’utilisateur doit recevoir les autorisations Get, Unwrap Key et Wrap Key dans les stratégies d’accès Key Vault, ou les autorisations équivalentes dans le contrôle d'accès en fonction du rôle Azure. Une définition de rôle intégrée recommandée avec les privilèges minimum nécessaires pour ce scénario est appelée Utilisateur du service de chiffrement KeyVault.

Comment configurer le chiffrement CMK sur les caches Enterprise

Utiliser le portail pour créer un cache avec CMK activé

  1. Connectez-vous au Portail Azure et démarrez le guide de démarrage rapide Créer un cache Redis Enterprise.

  2. Dans la page Avancé, accédez à la section intitulée Chiffrement au repos de clé gérée par le client et activez l’option Utiliser une clé gérée par le client.

    Screenshot of the advanced settings with customer-managed key encryption checked and in a red box.

  3. Sélectionnez Ajouter pour attribuer une identité managée attribuée par l’utilisateur à la ressource. Cette identité managée est utilisée pour se connecter à l’instance Azure Key Vault qui contient la clé gérée par le client.

    Screenshot showing user managed identity in the working pane.

  4. Sélectionnez l’identité managée attribuée par l’utilisateur choisie, puis choisissez la méthode d’entrée de clé à utiliser.

  5. Si vous utilisez la méthode Sélectionner le coffre de clés et la méthode d’entrée de clé Azure, choisissez l’instance Key Vault qui contient votre clé gérée par le client. Cette instance doit se trouver dans la même région que votre cache.

    Notes

    Pour obtenir des instructions sur la configuration d’une instance Azure Key Vault, consultez le guide de démarrage rapide d’Azure Key Vault. Vous pouvez également sélectionner le lien Créer un coffre de clés sous la sélection Key Vault pour créer une instance Key Vault. Rappelez-vous que la protection contre la supprimer définitivement et la suppression réversible doivent être activées dans votre instance Key Vault.

  6. Choisissez la clé et la version spécifiques à l’aide des listes déroulantes Clé gérée par le client (RSA) et Version.

    Screenshot showing the select identity and key fields completed.

  7. Si vous utilisez la méthode d’entrée URI, entrez l’URI d’identificateur de clé pour la clé choisie à partir d’Azure Key Vault.

  8. Une fois que vous avez entré toutes les informations pour votre cache, sélectionnez Vérifier + créer.

Ajouter le chiffrement CMK à un cache Enterprise existant

  1. Accédez à Chiffrement dans le menu Ressource de votre instance de cache. Si CMK est déjà configuré, les informations clés s’affichent.

  2. Si vous n’avez pas configuré les paramètres CMK ou si vous souhaitez les modifier, sélectionnez Modifier les paramètres de chiffrementScreenshot encryption selected in the Resource menu for an Enterprise tier cache.

  3. Sélectionnez Utiliser une clé gérée par le client pour afficher vos options de configuration.

  4. Sélectionnez Ajouter pour attribuer une identité managée attribuée par l’utilisateur à la ressource. Cette identité managée est utilisée pour se connecter à l’instance Azure Key Vault qui contient la clé gérée par le client.

  5. Sélectionnez l’identité managée attribuée par l’utilisateur choisie, puis choisissez la méthode d’entrée de clé à utiliser.

  6. Si vous utilisez la méthode Sélectionner le coffre de clés et la méthode d’entrée de clé Azure, choisissez l’instance Key Vault qui contient votre clé gérée par le client. Cette instance doit se trouver dans la même région que votre cache.

    Notes

    Pour obtenir des instructions sur la configuration d’une instance Azure Key Vault, consultez le guide de démarrage rapide d’Azure Key Vault. Vous pouvez également sélectionner le lien Créer un coffre de clés sous la sélection Key Vault pour créer une instance Key Vault.

  7. Choisissez la clé spécifique à l’aide de la liste déroulante Clé gérée par le client (RSA). Si vous avez le choix entre plusieurs versions de la clé, utilisez la liste déroulante Version. Screenshot showing the select identity and key fields completed for Encryption.

  8. Si vous utilisez la méthode d’entrée URI, entrez l’URI d’identificateur de clé pour la clé choisie à partir d’Azure Key Vault.

  9. Sélectionnez Enregistrer.

Étapes suivantes

En savoir plus sur les fonctionnalités d’Azure Cache pour Redis :