Configurare la crittografia del disco per le istanze di Cache Redis di Azure usando chiavi gestite dal cliente (anteprima)

  • Articolo

I dati in un server Redis vengono archiviati in memoria per impostazione predefinita. I dati non vengono crittografati. È possibile implementare la crittografia personalizzata sui dati prima di scriverli nella cache. In alcuni casi, i dati possono risiedere su disco, a causa delle operazioni del sistema operativo o di azioni intenzionali volte a rendere persistenti i dati usando esportazione o persistenza dei dati.

Per impostazione predefinita, Cache Redis di Azure offre chiavi gestite dalla piattaforma (PMK), note anche come chiavi gestite da Microsoft (MMK), per crittografare i dati su disco in tutti i livelli. I livelli Enterprise ed Enterprise Flash di Cache Redis di Azure offrono inoltre la possibilità di crittografare i dischi di persistenza dei dati e del sistema operativo con una chiave gestita dal cliente (CMK). Le chiavi gestite dal cliente possono essere usate per eseguire il wrapping dei MMK per controllare l'accesso a queste chiavi. In questo modo, la CMK è una chiave di crittografia della chiave, o KEK. Per ulteriori informazioni, consultare Gestione delle chiavi in Azure.

Ambito della disponibilità per la crittografia del disco CMK

Livello Basic, Standard, Premium Enterprise, Enterprise Flash
Chiavi gestite da Microsoft (MMK)
Chiavi gestite dal cliente (CMK) No Sì (anteprima)

Avviso

Per impostazione predefinita, tutti i livelli di Cache Redis di Azure usano chiavi gestite da Microsoft per crittografare i dischi montati nelle istanze della cache. Tuttavia, nei livelli Basic e Standard, gli SKU C0 e C1 non supportano alcuna crittografia del disco.

Importante

Nel livello Premium, la persistenza dei dati trasmette i dati direttamente ad Archiviazione di Azure; di conseguenza, la crittografia del disco è meno importante. Archiviazione di Azure offre un'ampia gamma di metodi di crittografia da poter usare in alternativa.

Copertura della crittografia

Livelli Enterprise

Nel livello Enterprise, la crittografia del disco viene usata per crittografare il disco di persistenza, i file temporanei e il disco del sistema operativo:

  • Disco di persistenza: contiene file RDB o AOF persistenti come parte della persistenza dei dati
  • file temporanei usati nell'esportazione: i dati temporanei usati vengono crittografati. Quando si esportano dati, la crittografia dei dati esportati finali viene controllata dalle impostazioni nell'account di archiviazione.
  • disco del sistema operativo

MMK viene usata per crittografare questi dischi per impostazione predefinita, ma è anche possibile usare CMK.

Nel livello Enterprise Flash, anche le chiavi e i valori vengono archiviati parzialmente su disco usando l'archiviazione flash NVMe (Nonvolatile Memory Express). Tuttavia, questo disco non è uguale a quello usato per i dati persistenti. Al contrario, questo è temporaneo, e i dati non vengono salvati in modo permanente dopo l'arresto, la deallocazione o il riavvio della cache. solo MMK è supportato su questo disco poiché questi dati sono temporanei ed effimeri.

Dati archiviati Disco Opzioni di crittografia
File di persistenza Disco di persistenza MMK o CMK
File RDB in attesa di essere esportati Disco del sistema operativo e disco di persistenza MMK o CMK
Chiavi e valori (solo livello Enterprise Flash) Disco NVMe temporaneo MMK

Altri livelli

Nei livelli Basic, Standard e Premium, il disco del sistema operativo viene crittografato per impostazione predefinita tramite MMK. Non è presente alcun disco di persistenza montato, e Archiviazione di Azure è invece in uso. Gli SKU C0 e C1 non usano la crittografia del disco.

Prerequisiti e limitazioni

Prerequisiti e limitazioni generali

  • La crittografia del disco non è disponibile nei livelli Basic e Standard per gli SKU C0 o C1
  • Solo l'identità gestita assegnata dall'utente è supportata per la connessione ad Azure Key Vault. L'identità gestita assegnata dal sistema non è supportata.
  • La modifica tra MMK e CMK in un'istanza della cache esistente attiva un'operazione di manutenzione a esecuzione prolungata. Questo metodo non è consigliabile per l'uso in produzione poiché comporta un'interruzione del servizio.

Prerequisiti e limitazioni di Azure Key Vault

  • La risorsa di Azure Key Vault contenente la chiave gestita dal cliente deve trovarsi nella stessa area della risorsa della cache.
  • La protezione dalla rimozione definitiva e l'eliminazione temporanea devono essere abilitate nell'istanza di Azure Key Vault. La protezione dalla rimozione definitiva non è abilitata per impostazione predefinita.
  • Quando si usano regole del firewall in Azure Key Vault, l'istanza di Key Vault deve essere configurata per consentire i servizi attendibili.
  • Solo chiavi RSA sono supportate
  • All'identità gestita assegnata dall'utente devono essere assegnate le autorizzazioni Get, Unwrap Key e Wrap Key nei criteri di accesso di Key Vault, oppure le autorizzazioni equivalenti all'interno del controllo degli accessi in base al ruolo di Azure. Una definizione di ruolo integrata consigliata con i minimi privilegi necessari per questo scenario è denominata KeyVault Crypto Service Encryption User.

Come configurare la crittografia della chiave gestita nelle cache Enterprise

Usare il portale per creare una nuova cache con CMK abilitata

  1. Accedere al portale di Azure e avviare la guida introduttiva Creare una cache Redis Enterprise.

  2. Nella pagina Avanzate, passare alla sezione denominata Crittografia chiavi gestite dal cliente a riposo e abilitare l'opzione Usa una chiave gestita dal cliente.

    Screenshot of the advanced settings with customer-managed key encryption checked and in a red box.

  3. Selezionare Aggiungi per assegnare un'identità gestita assegnata dall'utente alla risorsa. Questa identità gestita viene usata per connettersi all'istanza di Azure Key Vault che contiene la chiave gestita dal cliente.

    Screenshot showing user managed identity in the working pane.

  4. Selezionare l'identità gestita assegnata dall'utente scelto e quindi scegliere il metodo di input della chiave da usare.

  5. Se si usa il metodo di input Seleziona Azure Key Vault e chiave, scegliere l'istanza di Key Vault che contiene la chiave gestita dal cliente. Questa istanza deve trovarsi nella stessa area della cache.

    Nota

    Per istruzioni su come configurare un'istanza di Azure Key Vault, consultare la guida introduttiva di Azure Key Vault. È anche possibile selezionare il collegamento Crea un insieme di credenziali delle chiavi nella la selezione Key Vault per creare una nuova istanza di Key Vault. Tenere presente che sia la protezione di rimozione definitiva che l'eliminazione temporanea devono essere abilitate nell'istanza di Key Vault.

  6. Scegliere la chiave e la versione specifiche usando gli elenchi a discesa Chiave gestita dal cliente (RSA) e Versione.

    Screenshot showing the select identity and key fields completed.

  7. Se si usa il metodo di input URI, immettere l'URI dell'identificatore di chiave per la chiave scelta da Azure Key Vault.

  8. Dopo aver immesso tutte le informazioni per la cache, selezionare Rivedi e crea.

Aggiungere la crittografia CMK a una cache aziendale esistente

  1. Passare a Crittografia nel menu Risorsa dell'istanza della cache. Se CMK è già configurata, questo mostrerà le informazioni sulla chiave.

  2. Se le impostazioni della chiave gestita dal cliente non sono state configurate o se si desidera modificarle, selezionare Modifica impostazioni di crittografiaScreenshot encryption selected in the Resource menu for an Enterprise tier cache.

  3. Selezionare Usa una chiave gestita dal cliente per visualizzare le opzioni di configurazione.

  4. Selezionare Aggiungi per assegnare un'identità gestita assegnata dall'utente alla risorsa. Questa identità gestita viene usata per connettersi all'istanza di Azure Key Vault che contiene la chiave gestita dal cliente.

  5. Selezionare l'identità gestita assegnata dall'utente scelto e quindi scegliere il metodo di input della chiave da usare.

  6. Se si usa il metodo di input Seleziona Azure Key Vault e chiave, scegliere l'istanza di Key Vault che contiene la chiave gestita dal cliente. Questa istanza deve trovarsi nella stessa area della cache.

    Nota

    Per istruzioni su come configurare un'istanza di Azure Key Vault, consultare la guida introduttiva di Azure Key Vault. È anche possibile selezionare il collegamento Crea un insieme di credenziali delle chiavi nella la selezione Key Vault per creare una nuova istanza di Key Vault.

  7. Scegliere la chiave specifica usando l'elenco a discesa Chiave gestita dal cliente (RSA). Se sono disponibili più versioni della chiave tra cui scegliere, usare l'elenco a discesa Versione. Screenshot showing the select identity and key fields completed for Encryption.

  8. Se si usa il metodo di input URI, immettere l'URI dell'identificatore di chiave per la chiave scelta da Azure Key Vault.

  9. Seleziona Salva

Passaggi successivi

Ulteriori informazioni sulle funzionalità di Cache Redis di Azure: