Konfigurace šifrování disků pro instance Azure Cache for Redis pomocí klíčů spravovaných zákazníkem

Data na serveru Redis jsou ve výchozím nastavení uložená v paměti. Tato data nejsou šifrovaná. Před zápisem do mezipaměti můžete implementovat vlastní šifrování dat. V některých případech se data můžou nacházet na disku, a to buď kvůli operacím operačního systému, nebo kvůli úmyslným akcím k zachování dat pomocí exportu nebo trvalosti dat.

Azure Cache for Redis nabízí klíče spravované platformou (PMK), které se také označují jako klíče spravované Microsoftem (MMK), které ve výchozím nastavení šifrují data na disku ve všech úrovních. Úrovně Enterprise a Enterprise Flash služby Azure Cache for Redis navíc nabízejí možnost šifrovat disky s operačním systémem a trvalost dat pomocí klíče spravovaného zákazníkem (CMK). Klíče spravované zákazníkem je možné použít k zabalení sad MMK k řízení přístupu k těmto klíčům. Tím se klíč CMK změní na šifrovací klíč nebo klíč KEK. Další informace najdete v tématu Správa klíčů v Azure.

Rozsah dostupnosti pro šifrování disků CMK

Úroveň Basic, Standard a Premium Enterprise, Enterprise Flash
Spravované klíče Microsoftu (MMK) Ano Yes
Klíče spravované zákazníkem (CMK) No Ano

Upozorňující

Ve výchozím nastavení všechny úrovně Azure Cache for Redis používají spravované klíče Microsoftu k šifrování disků připojených k instancím mezipaměti. V úrovních Basic a Standard však skladové položky C0 a C1 nepodporují šifrování disku.

Důležité

Na úrovni Premium streamuje trvalost dat data přímo do Služby Azure Storage, takže šifrování disků je méně důležité. Azure Storage nabízí různé metody šifrování, které se místo toho mají použít.

Pokrytí šifrováním

Podnikové úrovně

Šifrování disku na podnikové úrovni slouží k šifrování disku trvalosti, dočasných souborů a disku s operačním systémem:

  • trvalý disk: Uchovává trvalé soubory RDB nebo AOF jako součást trvalosti dat.
  • dočasné soubory použité při exportu: Dočasná data použitá k exportu jsou šifrovaná. Při exportu dat se šifrování konečných exportovaných dat řídí nastavením v účtu úložiště.
  • disk s operačním systémem

Nástroj MMK se ve výchozím nastavení používá k šifrování těchto disků, ale cmk se dá použít také.

Ve vrstvě Enterprise Flash jsou klíče a hodnoty také částečně uložené na disku pomocí nevolatilového paměťového úložiště NVMe (Flash Storage). Tento disk ale není stejný jako ten, který se používá pro trvalá data. Místo toho je dočasný a data se neuchovávají po zastavení, uvolnění nebo restartování mezipaměti. MmK je podporován pouze na tomto disku, protože tato data jsou přechodná a dočasná.

Uložená data Disk Možnosti šifrování
Soubory trvalosti Disk trvalosti MMK nebo CMK
Soubory RDB čekající na export Disk s operačním systémem a disk trvalosti MMK nebo CMK
Klíče a hodnoty (pouze úroveň Enterprise Flash) Přechodný disk NVMe MMK

Další úrovně

Ve vrstvách Basic, Standard a Premium se disk s operačním systémem ve výchozím nastavení šifruje pomocí MMK. Není připojený žádný disk trvalosti a místo toho se používá Azure Storage. Skladové položky C0 a C1 nepoužívají šifrování disků.

Předpoklady a omezení

Obecné požadavky a omezení

  • Šifrování disků není dostupné na úrovních Basic a Standard pro skladové položky C0 nebo C1.
  • Připojení ke službě Azure Key Vault se podporuje jenom spravovaná identita přiřazená uživatelem. Spravovaná identita přiřazená systémem není podporována.
  • Při změně mezi nástroji MMK a CMK v existující instanci mezipaměti se aktivuje dlouhotrvající operace údržby. Nedoporučujeme to pro produkční použití, protože dojde k přerušení služby.

Požadavky a omezení služby Azure Key Vault

  • Prostředek služby Azure Key Vault obsahující klíč spravovaný zákazníkem musí být ve stejné oblasti jako prostředek mezipaměti.
  • V instanci služby Azure Key Vault musí být povolená ochrana před vymazáním a obnovitelné odstranění . Ochrana před vymazáním není ve výchozím nastavení povolená.
  • Pokud ve službě Azure Key Vault používáte pravidla brány firewall, musí být instance služby Key Vault nakonfigurovaná tak, aby povolovala důvěryhodné služby.
  • Podporují se jenom klíče RSA.
  • Spravovaná identita přiřazená uživatelem musí mít udělená oprávnění Get, Unwrap Key a Wrap Key v zásadách přístupu ke službě Key Vault nebo ekvivalentní oprávnění v rámci řízení přístupu na základě role Azure. Doporučená předdefinovaná definice role s nejnižšími oprávněními potřebnými pro tento scénář se nazývá Uživatel šifrování kryptografických služeb KeyVault.

Konfigurace šifrování CMK v podnikových mezipamětí

Vytvoření nové mezipaměti s povoleným klíčem CMK pomocí portálu

  1. Přihlaste se k webu Azure Portal a spusťte úvodní příručku k vytvoření mezipaměti Redis Enterprise.

  2. Na stránce Upřesnit přejděte do části s názvem Šifrování neaktivních uložených klíčů spravovaných zákazníkem a povolte možnost Použít klíč spravovaný zákazníkem.

    Snímek obrazovky s pokročilým nastavením se zaškrtnutým šifrováním klíčů spravovaným zákazníkem a červeným rámečkem

  3. Výběrem možnosti Přidat přiřadíte spravované identitě přiřazené uživatelem k prostředku. Tato spravovaná identita se používá k připojení k instanci služby Azure Key Vault , která obsahuje klíč spravovaný zákazníkem.

    Snímek obrazovky znázorňující identitu spravovanou uživatelem v pracovním podokně

  4. Vyberte zvolenou spravovanou identitu přiřazenou uživatelem a pak zvolte metodu zadávání klíčů, kterou chcete použít.

  5. Pokud používáte výběr trezoru klíčů Azure a metody zadávání klíčů , zvolte instanci služby Key Vault, která obsahuje klíč spravovaný zákazníkem. Tato instance musí být ve stejné oblasti jako vaše mezipaměť.

    Poznámka:

    Pokyny k nastavení instance služby Azure Key Vault najdete v průvodci rychlým zprovozněním služby Azure Key Vault. Můžete také vybrat odkaz Vytvořit trezor klíčů pod výběrem služby Key Vault a vytvořit novou instanci služby Key Vault. Nezapomeňte, že v instanci služby Key Vault musí být povolená ochrana před vymazáním i obnovitelné odstranění.

  6. Zvolte konkrétní klíč a verzi pomocí rozevíracích nabídek spravovaných zákazníkem (RSA) a Verze .

    Snímek obrazovky zobrazující vyplněná pole pro výběr identity a klíče

  7. Pokud používáte metodu zadávání identifikátoru URI, zadejte identifikátor URI klíče pro vybraný klíč ze služby Azure Key Vault.

  8. Po zadání všech informací pro mezipaměť vyberte Zkontrolovat a vytvořit.

Přidání šifrování CMK do existující podnikové mezipaměti

  1. V nabídce Prostředek instance mezipaměti přejděte na šifrování . Pokud je sada CMK už nastavená, zobrazí se klíčové informace.

  2. Pokud jste nastavení CMK nenastavili nebo pokud chcete změnit nastavení cmk, vyberte Změnit nastavení šifrování.Snímek obrazovky s vybraným šifrováním v nabídce Prostředek pro mezipaměť podnikové vrstvy

  3. Pokud chcete zobrazit možnosti konfigurace, vyberte Použít klíč spravovaný zákazníkem.

  4. Výběrem možnosti Přidat přiřadíte spravované identitě přiřazené uživatelem k prostředku. Tato spravovaná identita se používá k připojení k instanci služby Azure Key Vault , která obsahuje klíč spravovaný zákazníkem.

  5. Vyberte vybranou spravovanou identitu přiřazenou uživatelem a pak zvolte, kterou metodu zadávání klíčů chcete použít.

  6. Pokud používáte výběr trezoru klíčů Azure a metody zadávání klíčů , zvolte instanci služby Key Vault, která obsahuje klíč spravovaný zákazníkem. Tato instance musí být ve stejné oblasti jako vaše mezipaměť.

    Poznámka:

    Pokyny k nastavení instance služby Azure Key Vault najdete v průvodci rychlým zprovozněním služby Azure Key Vault. Můžete také vybrat odkaz Vytvořit trezor klíčů pod výběrem služby Key Vault a vytvořit novou instanci služby Key Vault.

  7. Zvolte konkrétní klíč pomocí rozevíracího seznamu Klíč spravovaný zákazníkem (RSA ). Pokud existuje více verzí klíče, ze které si můžete vybrat, použijte rozevírací seznam Verze . Snímek obrazovky znázorňující vyplněná pole vybrat identitu a klíč pro šifrování

  8. Pokud používáte metodu zadávání identifikátoru URI, zadejte identifikátor URI klíče pro vybraný klíč ze služby Azure Key Vault.

  9. Zvolte Uložit.

Další kroky

Další informace o funkcích Azure Cache for Redis: