Az Azure Cache for Redis-példányok lemeztitkosításának konfigurálása ügyfél által felügyelt kulcsokkal

  • Cikk

A Redis-kiszolgálón lévő adatok alapértelmezés szerint a memóriában vannak tárolva. Ezek az adatok nincsenek titkosítva. A gyorsítótárba való írás előtt saját titkosítást alkalmazhat az adatokon. Bizonyos esetekben az adatok a lemezen lehetnek, akár az operációs rendszer műveletei, akár az adatok exportálással vagy adatmegőrzéssel történő megőrzésére irányuló szándékos műveletek miatt.

Az Azure Cache for Redis platform által felügyelt kulcsokat (PMK-ket) kínál, más néven Microsoft által felügyelt kulcsokat (MMK-k) alapértelmezés szerint a lemezen lévő adatok titkosításához minden szinten. Az Azure Cache for Redis Nagyvállalati és Nagyvállalati Flash szintjei emellett lehetővé teszi az operációs rendszer és az adatmegőrzési lemezek ügyfél által felügyelt kulccsal (CMK) történő titkosítását is. Az ügyfél által felügyelt kulcsok az MMK-k körbefuttatásával szabályozhatják a kulcsokhoz való hozzáférést. Ez a CMK-t kulcstitkosítási kulcssá vagy KEK-vé teszi. További információ: Kulcskezelés az Azure-ban.

A CMK-lemeztitkosítás rendelkezésre állásának hatóköre

Szint Alap, Normál, Prémium Enterprise, Enterprise Flash
Microsoft által felügyelt kulcsok (MMK) Igen Igen
Ügyfél által felügyelt kulcsok (CMK) Nem Igen

Figyelmeztetés

Alapértelmezés szerint minden Azure Cache for Redis-szint a Microsoft által felügyelt kulcsokkal titkosítja a gyorsítótárpéldányokhoz csatlakoztatott lemezeket. Az alapszintű és a standard szinten azonban a C0 és a C1 termékváltozatok nem támogatják a lemeztitkosítást.

Fontos

A Prémium szinten az adatmegőrzés közvetlenül az Azure Storage-ba streameli az adatokat, így a lemeztitkosítás kevésbé fontos. Az Azure Storage többféle titkosítási módszert is kínál.

Titkosítási lefedettség

Nagyvállalati szintek

A vállalati szinten a lemeztitkosítás a tárolólemez, az ideiglenes fájlok és az operációsrendszer-lemez titkosítására szolgál:

  • adatmegőrzési lemez: a tárolt RDB- vagy AOF-fájlokat az adatmegőrzés részeként tárolja
  • exportáláskor használt ideiglenes fájlok: az exportált ideiglenes adatok titkosítva lesznek. Adatok exportálásakor a végleges exportált adatok titkosítását a tárfiók beállításai vezérlik.
  • az operációsrendszer-lemez

Az MMK alapértelmezés szerint titkosítja ezeket a lemezeket, de a CMK is használható.

Az Enterprise Flash rétegben a kulcsok és értékek részben a lemezen is tárolódnak nemvolatilis memória expressz (NVMe) flash storage használatával. Ez a lemez azonban nem ugyanaz, mint a tárolt adatokhoz használt lemez. Ehelyett rövid élettartamú, és az adatok nem maradnak meg a gyorsítótár leállítása, felszabadítása vagy újraindítása után. Az MMK csak azért támogatott ezen a lemezen, mert ezek az adatok átmenetiek és rövid élettartamúak.

Tárolt adatok Lemez Titkosítási beállítások
Adatmegőrzési fájlok Adatmegőrzési lemez MMK vagy CMK
Exportálásra váró RDB-fájlok Operációsrendszer-lemez és adatmegőrzési lemez MMK vagy CMK
Kulcsok > értékek (csak vállalati flash szint esetén) Átmeneti NVMe-lemez MMK

Egyéb szintek

Az alapszintű, a standard és a prémium szinten az operációsrendszer-lemez alapértelmezés szerint MMK használatával van titkosítva. Nincs csatlakoztatott adatmegőrzési lemez, és helyette az Azure Storage van használatban. A C0 és C1 termékváltozatok nem használnak lemeztitkosítást.

Előfeltételek és korlátozások

Általános előfeltételek és korlátozások

  • A lemeztitkosítás nem érhető el a C0 vagy C1 termékváltozatok alapszintű és standard szintjeiben
  • Csak a felhasználó által hozzárendelt felügyelt identitás támogatott az Azure Key Vaulthoz való csatlakozáshoz. A rendszer által hozzárendelt felügyelt identitás nem támogatott.
  • A meglévő gyorsítótárpéldányON az MMK és a CMK közötti váltás hosszú ideig futó karbantartási műveletet indít el. Ezt éles használatra nem javasoljuk, mert szolgáltatáskimaradás történik.

Az Azure Key Vault előfeltételei és korlátozásai

  • Az ügyfél által felügyelt kulcsot tartalmazó Azure Key Vault-erőforrásnak ugyanabban a régióban kell lennie, mint a gyorsítótár-erőforrás.
  • A törlés elleni védelmet és a helyreállítható törlést engedélyezni kell az Azure Key Vault-példányban. A törlés elleni védelem alapértelmezés szerint nincs engedélyezve.
  • Ha tűzfalszabályokat használ az Azure Key Vaultban, a Key Vault-példányt úgy kell konfigurálni, hogy engedélyezze a megbízható szolgáltatásokat.
  • Csak az RSA-kulcsok támogatottak
  • A felhasználó által hozzárendelt felügyelt identitásnak meg kell adni a Get, Unwrap Key és Wrap Key engedélyeket a Key Vault hozzáférési szabályzataiban, vagy az Azure Szerepköralapú hozzáférés-vezérlés megfelelő engedélyeit. Az ehhez a forgatókönyvhöz szükséges legkisebb jogosultságokkal rendelkező beépített szerepkördefiníciót KeyVault Crypto Service Encryption Usernek nevezzük.

CMK-titkosítás konfigurálása vállalati gyorsítótárakon

Új gyorsítótár létrehozása a portálon a CMK engedélyezésével

  1. Jelentkezzen be az Azure Portalra , és indítsa el a Redis Enterprise cache gyorsútmutatóját.

  2. A Speciális lapon lépjen az Ügyfél által felügyelt kulcstitkosítás inaktív állapotban című szakaszra, és engedélyezze az Ügyfél által felügyelt kulcs használata lehetőséget.

    Screenshot of the advanced settings with customer-managed key encryption checked and in a red box.

  3. A Hozzáadás gombra kattintva hozzárendelhet egy felhasználó által hozzárendelt felügyelt identitást az erőforráshoz. Ez a felügyelt identitás az ügyfél által felügyelt kulcsot tartalmazó Azure Key Vault-példányhoz való csatlakozásra szolgál.

    Screenshot showing user managed identity in the working pane.

  4. Válassza ki a kiválasztott felhasználó által hozzárendelt felügyelt identitást, majd válassza ki a használni kívánt kulcsbeviteli módszert.

  5. Az Azure Key Vault kiválasztása és a kulcsbeviteli módszer használata esetén válassza ki az ügyfél által felügyelt kulcsot tartalmazó Key Vault-példányt. Ennek a példánynak ugyanabban a régióban kell lennie, mint a gyorsítótárnak.

    Feljegyzés

    Az Azure Key Vault-példányok beállításáról az Azure Key Vault rövid útmutatójában olvashat. Új Key Vault-példány létrehozásához a Kulcstartó kijelölése alatt található Kulcstartó létrehozása hivatkozást is választhatja. Ne feledje, hogy mind a törlési védelmet, mind a helyreállítható törlést engedélyezni kell a Key Vault-példányban.

  6. Válassza ki az adott kulcsot és verziót az ügyfél által felügyelt kulcs (RSA) és a Verzió legördülő listából.

    Screenshot showing the select identity and key fields completed.

  7. Ha az URI bemeneti módszert használja, adja meg a kiválasztott kulcs kulcsazonosítójának URI-ját az Azure Key Vaultból.

  8. Amikor megadta a gyorsítótár összes információját, válassza a Véleményezés + létrehozás lehetőséget.

CMK-titkosítás hozzáadása meglévő vállalati gyorsítótárhoz

  1. Nyissa meg a gyorsítótárpéldány Erőforrás menüjének Titkosítás elemét. Ha a CMK már be van állítva, megjelenik a legfontosabb információ.

  2. Ha még nem állította be, vagy módosítani szeretné a CMK beállításait, válassza a Titkosítási beállítások módosítása lehetőségetScreenshot encryption selected in the Resource menu for an Enterprise tier cache.

  3. Válassza az Ügyfél által felügyelt kulcs használata lehetőséget a konfigurációs beállítások megtekintéséhez.

  4. A Hozzáadás gombra kattintva hozzárendelhet egy felhasználó által hozzárendelt felügyelt identitást az erőforráshoz. Ez a felügyelt identitás az ügyfél által felügyelt kulcsot tartalmazó Azure Key Vault-példányhoz való csatlakozásra szolgál.

  5. Válassza ki a kiválasztott felhasználó által hozzárendelt felügyelt identitást, majd válassza ki a használni kívánt kulcsbeviteli módszert.

  6. Az Azure Key Vault kiválasztása és a kulcsbeviteli módszer használata esetén válassza ki az ügyfél által felügyelt kulcsot tartalmazó Key Vault-példányt. Ennek a példánynak ugyanabban a régióban kell lennie, mint a gyorsítótárnak.

    Feljegyzés

    Az Azure Key Vault-példányok beállításáról az Azure Key Vault rövid útmutatójában olvashat. Új Key Vault-példány létrehozásához a Kulcstartó kijelölése alatt található Kulcstartó létrehozása hivatkozást is választhatja.

  7. Válassza ki az adott kulcsot az ügyfél által felügyelt kulcs (RSA) legördülő listából. Ha a kulcsnak több verziója közül is választhat, használja a Verzió legördülő menüt. Screenshot showing the select identity and key fields completed for Encryption.

  8. Ha az URI bemeneti módszert használja, adja meg a kiválasztott kulcs kulcsazonosítójának URI-ját az Azure Key Vaultból.

  9. Válassza a Mentés lehetőséget

Következő lépések

További információ az Azure Cache for Redis funkcióiról: