Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Kubernetes Service (AKS) ukládá citlivá data, jako jsou tajemství Kubernetes, v etcd, rozdělené úložiště klíč-hodnota používané Kubernetesem. Kvůli lepším požadavkům na zabezpečení a dodržování předpisů podporuje AKS šifrování neaktivních uložených tajných kódů Kubernetes pomocí zprostředkovatele správy klíčů Kubernetes (KMS) integrovaného se službou Azure Key Vault.
Tento článek vysvětluje klíčové koncepty, modely šifrování a možnosti správy klíčů, které jsou k dispozici pro ochranu neaktivních uložených tajných kódů Kubernetes v AKS.
Šifrování dat v klidu
Šifrování dat v klidu chrání vaše data při jejich uložení na disku. Bez šifrování neaktivních uložených dat by útočník, který získá přístup k podkladovému úložišti, mohl potenciálně číst citlivá data, jako jsou tajné kódy Kubernetes.
AKS poskytuje šifrování tajných kódů Kubernetes uložených v atd.:
| Vrstva | Description |
|---|---|
| Šifrování platformy Azure | Azure Storage automaticky šifruje všechna neaktivní uložená data pomocí 256bitového šifrování AES. Toto šifrování je pro uživatele vždy povolené a transparentní. |
| KMS poskytovatel šifrování | Volitelná vrstva, která šifruje tajné kódy Kubernetes před jejich zápisem do atd. pomocí klíčů uložených ve službě Azure Key Vault. |
Další informace o možnostech šifrování neaktivních uložených dat v Azure najdete v tématu Šifrování neaktivních uložených dat Azure a modely šifrování Azure.
Poskytovatel KMS pro šifrování dat
Poskytovatel KMS Kubernetes je mechanismus, který umožňuje šifrovat tajné údaje Kubernetes v klidovém stavu pomocí externího systému správy klíčů. AKS se integruje se službou Azure Key Vault, která poskytuje tuto funkci a poskytuje vám kontrolu nad šifrovacími klíči a současně zachovává výhody zabezpečení spravované služby Kubernetes.
Jak funguje šifrování Služby správy klíčů
Když pro cluster AKS povolíte Službu správy klíčů:
- Vytvoření tajemství: Při vytvoření tajemství server API Kubernetes odešle data tajemství do pluginu poskytovatele KMS.
- Šifrování: Modul plug-in Služby správy klíčů šifruje tajná data pomocí šifrovacího klíče dat (DEK), který je samotný šifrovaný pomocí klíče KEK (Key Encryption Key Key) uloženého ve službě Azure Key Vault.
- Úložiště: Šifrovaný tajný klíč je uložený v etcd.
- Načítání tajemství: Při čtení tajemství modul plug-in KMS dešifruje DEK pomocí KEK ze služby Azure Key Vault a pak použije DEK k dešifrování tajných dat.
Tento přístup k šifrování obálky poskytuje výhody zabezpečení i výkonu. DEK zpracovává často šifrovací operace místně, zatímco klíč KEK ve službě Azure Key Vault poskytuje zabezpečení systému správy klíčů založeného na hardwaru.
Možnosti správy klíčů
AKS nabízí dvě klíčové možnosti správy pro šifrování KMS:
Klíče spravované platformou (PMK)
Díky klíčům spravovaným platformou automaticky spravuje šifrovací klíče AKS za vás:
- AKS vytváří a spravuje šifrovací klíče.
- Platforma automaticky zajišťuje rotaci klíčů.
- Nevyžaduje se žádná další konfigurace ani nastavení trezoru klíčů.
Kdy použít klíče spravované platformou:
- Chcete nejjednodušší nastavení s minimální konfigurací.
- Nemáte specifické zákonné požadavky, které vyžadují klíče spravované zákazníkem.
- Chcete automatickou rotaci klíčů bez ručního zásahu.
Klíče spravované zákazníkem (CMK)
Pomocí klíčů spravovaných zákazníkem máte úplnou kontrolu nad šifrovacími klíči:
- Vytvoříte a spravujete vlastní azure Key Vault a šifrovací klíče.
- Řídíte plány a zásady rotace klíčů.
Kdy použít klíče spravované zákazníkem:
- Máte zákonné požadavky nebo požadavky na dodržování předpisů, které vyžadují klíče spravované zákazníkem.
- Musíte řídit životní cyklus klíče, včetně plánů obměny a verzí klíčů.
- Potřebujete protokoly auditu pro všechny klíčové operace.
Možnosti síťového přístupu ke službě Key Vault
Při použití klíčů spravovaných zákazníkem můžete nakonfigurovat síťový přístup pro službu Azure Key Vault:
| Síťový přístup | Description | Případ použití |
|---|---|---|
| Public | Trezor klíčů je přístupný přes veřejný internet s ověřováním. | Vývojová prostředí, jednodušší nastavení |
| Private | Trezor klíčů má zakázaný přístup k veřejné síti. AKS přistupuje k trezoru klíčů prostřednictvím výjimky důvěryhodných služeb v bráně firewall. | Produkční prostředí, vylepšené zabezpečení |
Porovnání možností šifrovacího klíče
| Vlastnost | Klíče spravované platformou | Klíče spravované zákazníkem (veřejné) | Klíče spravované zákazníkem (privátní) |
|---|---|---|---|
| Vlastnictví klíče | Microsoft spravuje | Zákazník spravuje | Zákazník spravuje |
| Obměně klíčů | Automatický | Konfigurovatelné uživatelem | Konfigurovatelné uživatelem |
| Vytvoření trezoru klíčů | Automatický | Zákazník vytvoří | Zákazník vytvoří |
| Izolace sítě | N/A | Ne | Ano |
Požadavky
- Nové šifrování KMS s klíči spravovanými platformou nebo spravovanými zákazníkem s automatickou obměnou klíčů vyžaduje Kubernetes verze 1.33 nebo novější.
- Nové šifrování KMS s klíči spravovanými platformou nebo klíči spravovanými zákazníkem s automatickou obměnou klíčů se podporuje jenom v clusterech AKS, kde se pro identitu clusteru používá spravovaná identita.
Omezení
- Bez downgradu: Po povolení nového prostředí šifrování KMS nemůžete tuto možnost zakázat.
- Odstranění klíče: Odstranění šifrovacího klíče nebo trezoru klíčů znepřístupňuje tajné kódy.
- Přístup k privátnímu koncovému bodu: Přístup k trezoru klíčů pomocí privátního propojení nebo koncového bodu se zatím nepodporuje. Pro úložiště privátních klíčů použijte výjimku brány firewall pro důvěryhodné služby.