Configurar a criptografia de disco para instâncias do Azure Managed Redis (versão prévia) usando chaves gerenciadas pelo cliente
Os dados em um servidor Redis são armazenados na memória por padrão. Esses dados não são criptografados. Você pode implementar sua própria criptografia nos dados antes de gravá-los no cache. Em alguns casos, os dados podem residir no disco, seja devido às operações do sistema operacional ou devido a ações deliberadas para persistir os dados usando exportar ou persistência de dados .
O Azure Managed Redis oferece por padrão PMKs (chaves gerenciadas pela plataforma), também conhecidas como MMKs (chaves gerenciadas pela Microsoft), para criptografar dados em disco em todas as camadas de serviço. Além disso, o Azure Managed Redis oferece a capacidade de criptografar os discos de persistência de dados e do sistema operacional com uma chave gerenciada pelo cliente (CMK). As chaves gerenciadas pelo cliente podem ser usadas para encapsular as MMKs para controlar o acesso a essas chaves. Isso torna a CMK uma chave de criptografia de chave ou KEK. Para saber mais, confira gerenciamento de chaves no Azure.
Escopo da disponibilidade para criptografia de disco CMK
Camada | Otimizada para Memória, Balanceada, Computação Otimizada | Otimizada para Flash |
---|---|---|
Chaves gerenciadas pela Microsoft (MMK) | Sim | Sim |
Chaves gerenciadas pelo cliente (CMK) | Sim | Sim |
Cobertura da criptografia
No Azure Managed Redis, a criptografia de disco é usada para criptografar o disco de persistência, os arquivos temporários e o disco do sistema operacional:
- disco de persistência: mantém arquivos RDB ou AOF persistentes como parte da persistência de dados
- arquivos temporários usados na exportação: os dados temporários usados e exportados são criptografados. Quando você exporta dados, a criptografia dos dados finais exportados é controlada pelas configurações na conta de armazenamento.
- o disco do SO
A MMK é usada para criptografar esses discos por padrão, mas a CMK também pode ser usada.
Na camada Otimizada para Flash, as chaves e os valores também são parcialmente armazenados no disco usando o armazenamento flash NVMe (memória expressa não volátil). No entanto, esse disco não é o mesmo usado para dados persistentes. Em vez disso, é efêmero e os dados não são persistentes após o cache ser interrompido, desalocado ou reiniciado. O MMK só tem suporte nesse disco porque esses dados são transitórios e efêmeros.
Dados armazenados | Disco | Opções de Criptografia |
---|---|---|
Arquivos de Persistência | Disco de persistência | MMK ou CMK |
Arquivos RDB aguardando para serem exportados | Disco do SO e disco de Persistência | MMK ou CMK |
Chaves e valores (somente na camada Otimizada para Flash) | Disco NVMe transitório | MMK |
Pré-requisitos e limitações
Pré-requisitos e limitações gerais
- Somente a identidade gerenciada atribuída pelo usuário possui suporte para se conectar ao Azure Key Vault. Não há suporte para identidade gerenciada atribuída pelo sistema.
- Alterar entre MMK e CMK em uma instância de cache existente dispara uma operação de manutenção de longa duração. Não recomendamos isso para uso em produção, pois ocorre uma interrupção do serviço.
Pré-requisitos e limitações do Azure Key Vault
- O recurso Azure Key Vault que contém a chave gerenciada pelo cliente deve estar na mesma região que o recurso de cache.
- A proteção contra limpeza e a exclusão reversível devem estar habilitadas na instância do Azure Key Vault. A proteção contra limpeza não está habilitada por padrão.
- Quando você usa regras de firewall no Azure Key Vault, a instância do Key Vault deve ser configurada para permitir serviços confiáveis.
- Apenas chaves RSA são suportadas
- A identidade gerenciada atribuída pelo usuário deve receber as permissões Obter, Desencapsular Chave e Encapsular Chave nas políticas de acesso do Key Vault ou as permissões equivalentes no Controle de Acesso Baseado em Funções do Azure. Uma definição de função interna recomendada com o mínimo de privilégios necessários para esse cenário é chamada de Usuário de Criptografia do Serviço de Criptografia do KeyVault.
Como configurar a criptografia CMK no Azure Managed Redis
Usar o portal para criar um novo cache com a CMK ativada
Conecte-se ao portal do Azure e inicie o guia de início rápido Criar uma instância do Azure Managed Redis.
Na página Avançado, vá para a seção intitulada Criptografia de chave gerenciada pelo cliente inativa e habilite a opção Usar uma chave gerenciada pelo cliente .
Selecione Adicionar para atribuir uma identidade gerenciada atribuída pelo usuário para o recurso. Essa identidade gerenciada é usada para conectar à instância do Azure Key Vault que contém a chave gerenciada pelo cliente.
Selecione a identidade gerenciada atribuída pelo usuário escolhido e escolha o método de entrada de chave a ser utilizado.
Se estiver usando o método de entrada Selecione o cofre de chaves e a chave do Azure, escolha a instância Key Vault que contém sua chave gerenciada pelo cliente. Essa instância deve estar na mesma região do cache.
Observação
Para obter instruções sobre como configurar uma instância do Azure Key Vault, confira o Guia de início rápido do Azure Key Vault. Você também pode selecionar o link Criar um cofre de chaves abaixo da seleção Key Vault para criar uma nova instância do Key Vault. Lembre-se de que a proteção contra limpeza e a exclusão temporária devem estar habilitadas em sua instância do Key Vault.
Escolha a chave e a versão específicas usando os menus suspensos Chave gerenciada pelo cliente (RSA) e Versão.
Se estiver usando o método de entrada URI, insira o URI do Identificador de Chave da chave escolhida no Azure Key Vault.
Quando você tiver inserido todas as informações do seu cache, selecione Examinar + criar.
Adicione a criptografia CMK a uma instância existente do Azure Managed Redis
Vá para Criptografia no menu Recursos da instância de cache. Se a CMK já estiver configurada, você verá as informações da chave.
Se você não tiver configurado ou se quiser alterar as configurações da CMK, selecione Alterar configurações de criptografia
Selecione Usar uma chave gerenciada pelo cliente para ver as opções de configuração.
Selecione Adicionar para atribuir uma identidade gerenciada atribuída pelo usuário para o recurso. Essa identidade gerenciada é usada para conectar à instância do Azure Key Vault que contém a chave gerenciada pelo cliente.
Selecione a identidade gerenciada atribuída pelo usuário escolhido e escolha qual método de entrada de chave usar.
Se estiver usando o método de entrada Selecione o cofre de chaves e a chave do Azure, escolha a instância Key Vault que contém sua chave gerenciada pelo cliente. Essa instância deve estar na mesma região do cache.
Observação
Para obter instruções sobre como configurar uma instância do Azure Key Vault, confira o Guia de início rápido do Azure Key Vault. Você também pode selecionar o link Criar um cofre de chaves abaixo da seleção Key Vault para criar uma nova instância do Key Vault.
Escolha a chave específica usando a lista suspensa Chave gerenciada pelo cliente (RSA). Se houver várias versões da chave para escolher, use a lista suspensa Versão.
Se estiver usando o método de entrada URI, insira o URI do Identificador de Chave da chave escolhida no Azure Key Vault.
Selecione Salvar