Partilhar via


Configurar a criptografia de disco para instâncias do Azure Managed Redis (visualização) usando chaves gerenciadas pelo cliente

Os dados em um servidor Redis são armazenados na memória por padrão. Esses dados não são criptografados. Você pode implementar sua própria criptografia nos dados antes de gravá-los no cache. Em alguns casos, os dados podem residir no disco, devido às operações do sistema operacional ou devido a ações deliberadas para persistir dados usando exportação ou persistência de dados.

O Azure Managed Redis (visualização) oferece chaves gerenciadas por plataforma (PMKs), também conhecidas como chaves gerenciadas pela Microsoft (MMKs), por padrão para criptografar dados no disco em todas as camadas. O Azure Managed Redis oferece adicionalmente a capacidade de encriptar o SO e os discos de persistência de dados com uma chave gerida pelo cliente (CMK). As chaves gerenciadas pelo cliente podem ser usadas para encapsular os MMKs para controlar o acesso a essas chaves. Isso torna a CMK uma chave de criptografia de chave ou KEK. Para obter mais informações, consulte Gerenciamento de chaves no Azure.

Escopo de disponibilidade para criptografia de disco CMK

Escalão de serviço Memória otimizada, balanceada, computação otimizada Otimizado para Flash
Chaves gerenciadas pela Microsoft (MMK) Sim Sim
Chaves gerenciadas pelo cliente (CMK) Sim Sim

Cobertura de criptografia

No Azure Managed Redis, a criptografia de disco é usada para criptografar o disco de persistência, os arquivos temporários e o disco do sistema operacional:

  • disco de persistência: contém arquivos RDB ou AOF persistentes como parte da persistência de dados
  • Arquivos temporários usados na exportação: Os dados temporários usados exportados são criptografados. Quando você exporta dados, a criptografia dos dados finais exportados é controlada pelas configurações na conta de armazenamento.
  • o disco do SO

MMK é usado para criptografar esses discos por padrão, mas CMK também pode ser usado.

Na camada Otimizado para Flash, chaves e valores também são parcialmente armazenados no disco usando armazenamento flash NVMe (nonvolatile memory express). No entanto, esse disco não é o mesmo usado para dados persistentes. Em vez disso, é efêmero e os dados não são persistentes depois que o cache é interrompido, deslocalizado ou reinicializado. MMK só é suportado neste disco porque esses dados são transitórios e efêmeros.

Dados armazenados Disco Opções de encriptação
Arquivos de persistência Disco de persistência MMK ou CMK
Arquivos RDB aguardando exportação Disco do SO e disco de persistência MMK ou CMK
Chaves e valores (somente camada otimizada para Flash) Disco NVMe transitório MMK

Pré-requisitos e limitações

Pré-requisitos e limitações gerais

  • Somente a identidade gerenciada atribuída ao usuário é suportada para se conectar ao Cofre da Chave do Azure. Não há suporte para identidade gerenciada atribuída ao sistema.
  • A alteração entre MMK e CMK em uma instância de cache existente aciona uma operação de manutenção de longa duração. Não recomendamos isso para uso em produção porque ocorre uma interrupção do serviço.

Pré-requisitos e limitações do Azure Key Vault

  • O recurso do Cofre de Chaves do Azure que contém a chave gerenciada pelo cliente deve estar na mesma região que o recurso de cache.
  • A proteção contra limpeza e a exclusão suave devem ser habilitadas na instância do Cofre de Chaves do Azure. A proteção contra limpeza não está ativada por padrão.
  • Quando você usa regras de firewall no Cofre da Chave do Azure, a instância do Cofre da Chave deve ser configurada para permitir serviços confiáveis.
  • Apenas as chaves RSA são suportadas
  • O usuário atribuído à identidade gerenciada deve receber as permissões Get, Unwrap Key e Wrap Key nas políticas de acesso do Cofre de Chaves ou as permissões equivalentes no Controle de Acesso Baseado em Função do Azure. Uma definição de função interna recomendada com os privilégios mínimos necessários para esse cenário é chamada KeyVault Crypto Service Encryption User.

Como configurar a criptografia CMK no Azure Managed Redis

Use o portal para criar um novo cache com a CMK habilitada

  1. Entre no portal do Azure e inicie o guia de início rápido Criar uma instância do Azure Managed Redis.

  2. Na página Avançado, vá para a seção intitulada Criptografia de chave gerenciada pelo cliente em repouso e habilite a opção Usar uma chave gerenciada pelo cliente.

    Captura de ecrã das definições avançadas com encriptação de chave gerida pelo cliente marcada e numa caixa vermelha.

  3. Selecione Adicionar para atribuir uma identidade gerenciada atribuída ao recurso. Essa identidade gerenciada é usada para se conectar à instância do Cofre da Chave do Azure que contém a chave gerenciada pelo cliente.

    Captura de tela mostrando a identidade gerenciada pelo usuário no painel de trabalho.

  4. Selecione a identidade gerenciada atribuída ao usuário escolhido e, em seguida, escolha o método de entrada de chave a ser usado.

  5. Se estiver usando o método Select key vault e key input (Selecionar cofre de chaves do Azure), escolha a instância do Key Vault que contém a chave gerenciada pelo cliente. Essa instância deve estar na mesma região do cache.

    Nota

    Para obter instruções sobre como configurar uma instância do Azure Key Vault, consulte o guia de início rápido do Azure Key Vault. Você também pode selecionar o link Criar um cofre de chaves abaixo da seleção Cofre da chave para criar uma nova instância do Cofre da chave. Lembre-se de que a proteção contra limpeza e a exclusão suave devem ser habilitadas na instância do Cofre da Chave.

  6. Escolha a chave e a versão específicas usando os menus suspensos Chave gerenciada pelo cliente (RSA) e Versão .

    Captura de ecrã a mostrar a identidade selecionada e os campos-chave preenchidos.

  7. Se estiver usando o método de entrada de URI , insira o URI do Identificador de Chave para a chave escolhida no Cofre de Chaves do Azure.

  8. Quando tiver introduzido todas as informações para a cache, selecione Rever + criar.

Adicionar criptografia CMK a uma instância existente do Azure Managed Redis

  1. Vá para a Criptografia no menu Recurso da sua instância de cache. Se a CMK já estiver configurada, você verá as principais informações.

  2. Se você não configurou ou se deseja alterar as configurações de CMK, selecione Alterar configurações de criptografiaCriptografia de captura de tela selecionada no menu Recurso para um cache de camada Enterprise.

  3. Selecione Usar uma chave gerenciada pelo cliente para ver suas opções de configuração.

  4. Selecione Adicionar para atribuir uma identidade gerenciada atribuída ao recurso. Essa identidade gerenciada é usada para se conectar à instância do Cofre da Chave do Azure que contém a chave gerenciada pelo cliente.

  5. Selecione a identidade gerenciada atribuída ao usuário escolhido e, em seguida, escolha qual método de entrada de chave usar.

  6. Se estiver usando o método Select key vault e key input (Selecionar cofre de chaves do Azure), escolha a instância do Key Vault que contém a chave gerenciada pelo cliente. Essa instância deve estar na mesma região do cache.

    Nota

    Para obter instruções sobre como configurar uma instância do Azure Key Vault, consulte o guia de início rápido do Azure Key Vault. Você também pode selecionar o link Criar um cofre de chaves abaixo da seleção Cofre da chave para criar uma nova instância do Cofre da chave.

  7. Escolha a chave específica usando a lista suspensa Chave gerenciada pelo cliente (RSA). Se houver várias versões da chave para escolher, use a lista suspensa Versão . Captura de ecrã a mostrar os campos de identidade e chave selecionados preenchidos para Encriptação.

  8. Se estiver usando o método de entrada de URI , insira o URI do Identificador de Chave para a chave escolhida no Cofre de Chaves do Azure.

  9. Selecione Guardar

Próximos passos