Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Kubernetes Service (AKS) speichert vertrauliche Daten wie Kubernetes geheime Schlüssel in etcd, den verteilten Schlüsselwertspeicher, der von Kubernetes verwendet wird. Für verbesserte Sicherheits- und Complianceanforderungen unterstützt AKS die Verschlüsselung ruhender Kubernetes-Geheimschlüssel mithilfe des kubernetes Key Management Service (KMS)-Anbieters, der in Azure Key Vault integriert ist.
In diesem Artikel werden die wichtigsten Konzepte, Verschlüsselungsmodelle und Schlüsselverwaltungsoptionen erläutert, die zum Schutz ruhender Kubernetes-Geheimnisse in AKS verfügbar sind.
Grundlagen der Verschlüsselung ruhender Daten
Die ruhende Datenverschlüsselung schützt Ihre Daten, wenn sie auf dem Datenträger gespeichert sind. Ohne ruhende Verschlüsselung könnte ein Angreifer, der Zugriff auf den zugrunde liegenden Speicher erhält, potenziell vertrauliche Daten wie Kubernetes-Geheimnisse lesen.
AKS bietet Verschlüsselung für Kubernetes-Geheimnisse, die in etcd gespeichert sind.
| Ebene | Description |
|---|---|
| Azure-Plattformverschlüsselung | Azure Storage verschlüsselt automatisch alle ruhenden Daten mithilfe der 256-Bit-AES-Verschlüsselung. Diese Verschlüsselung ist für Benutzer immer aktiviert und transparent. |
| KMS-Anbieterverschlüsselung | Eine optionale Ebene, die Kubernetes-Geheimnisse verschlüsselt, bevor sie mithilfe von im Azure Key Vault gespeicherten Schlüsseln in etcd geschrieben werden. |
Weitere Informationen zur Verschlüsselung ruhender Azure-Funktionen finden Sie unter Azure-Datenverschlüsselung ruhende und Azure-Verschlüsselungsmodelle.
KMS-Anbieter für die Datenverschlüsselung
Der Kubernetes KMS-Anbieter ist ein Mechanismus, der die Verschlüsselung ruhender Kubernetes-Schlüssel mithilfe eines externen Schlüsselverwaltungssystems ermöglicht. AKS ist in Azure Key Vault integriert, um diese Funktion bereitzustellen, sodass Sie die Kontrolle über Verschlüsselungsschlüssel erhalten und gleichzeitig die Sicherheitsvorteile eines verwalteten Kubernetes-Diensts beibehalten.
Funktionsweise der KMS-Verschlüsselung
Wenn Sie KMS für einen AKS-Cluster aktivieren:
- Geheime Erstellung: Wenn ein geheimer Schlüssel erstellt wird, sendet der Kubernetes-API-Server die geheimen Daten an das KMS-Anbieter-Plug-In.
- Verschlüsselung: Das KMS-Plug-In verschlüsselt die geheimen Daten mit einem Datenverschlüsselungsschlüssel (Data Encryption Key Key, DEK), der selbst mit einem im Azure Key Vault gespeicherten Schlüsselverschlüsselungsschlüssel (KEY Encryption Key, KEK) verschlüsselt wird.
- Speicher: Der verschlüsselte Geheimschlüssel wird in etcd gespeichert.
- Geheimer Abruf: Wenn ein Geheimschlüssel gelesen wird, entschlüsselt das KMS-Plug-In die DEK mit dem KEK aus Azure Key Vault und verwendet dann die DEK, um die geheimen Daten zu entschlüsseln.
Dieser Umschlagverschlüsselungsansatz bietet sowohl Sicherheits- als auch Leistungsvorteile. Die DEK verarbeitet häufige Verschlüsselungsvorgänge lokal, während der KEK in Azure Key Vault die Sicherheit eines hardwaregestützten Schlüsselverwaltungssystems bietet.
Schlüsselverwaltungsoptionen
AKS bietet zwei Schlüsselverwaltungsoptionen für die KMS-Verschlüsselung:
Plattformverwaltete Schlüssel (PMK)
Mit plattformverwalteten Schlüsseln verwaltet AKS automatisch die Verschlüsselungsschlüssel für Sie:
- AKS erstellt und verwaltet die Azure Key Vault- und Verschlüsselungsschlüssel.
- Die Schlüsselrotation wird automatisch von der Plattform gesteuert.
- Es ist keine zusätzliche Konfiguration oder kein Key Vault-Setup erforderlich.
Gründe für die Verwendung von plattformverwalteten Schlüsseln:
- Sie benötigen das einfachste Setup mit minimaler Konfiguration.
- Sie haben keine spezifischen behördlichen Anforderungen, die vom Kunden verwaltete Schlüssel mandaten.
- Sie möchten die automatische Schlüsseldrehung ohne manuelle Eingriffe.
Kundenseitig verwaltete Schlüssel (CMK)
Mit vom Kunden verwalteten Schlüsseln haben Sie die volle Kontrolle über die Verschlüsselungsschlüssel:
- Sie erstellen und verwalten Ihre eigenen Azure Key Vault- und Verschlüsselungsschlüssel.
- Sie steuern Zeitpläne und Richtlinien für die Schlüsselrotation.
Gründe für die Verwendung von vom Kunden verwalteten Schlüsseln:
- Sie verfügen über behördliche oder Compliance-Anforderungen, die vom Kunden verwaltete Schlüssel festlegen.
- Sie müssen den Lebenszyklus der Schlüssel steuern, einschließlich Rotationsplänen und Schlüsselversionen.
- Sie benötigen Überwachungsprotokolle für alle wichtigen Vorgänge.
Azure Key Vault Netzwerkzugriffsoptionen
Wenn Sie vom Kunden verwaltete Schlüssel verwenden, können Sie den Netzwerkzugriff für Ihren Azure Key Vault konfigurieren:
| Netzwerkzugriff | Description | Anwendungsfall |
|---|---|---|
| Public | Der Schlüsseltresor ist über das öffentliche Internet mit Authentifizierung zugänglich. | Entwicklungsumgebungen, einfachere Einrichtung |
| Private | Der Schlüsseltresor hat den öffentlichen Netzwerkzugang deaktiviert. AKS greift über die Firewall-Ausnahme für vertrauenswürdige Dienste auf den Key Vault zu. | Produktionsumgebungen, erhöhte Sicherheit |
Vergleich der Verschlüsselungsschlüsseloptionen
| Merkmal | Von der Plattform verwaltete Schlüssel | Vom Kunden verwaltete Schlüssel (öffentlich) | Vom Kunden verwaltete Schlüssel (privat) |
|---|---|---|---|
| Schlüsselbesitz | Microsoft verwaltet | Der Kunde verwaltet | Der Kunde verwaltet |
| Schlüsselrotation | Automatisch | Konfigurierbarer Benutzer | Konfigurierbarer Benutzer |
| Erstellen einer Key Vault-Instanz | Automatisch | Der Kunde erstellt | Ein Kunde erstellt |
| Netzwerkisolation | N/A | Nein | Yes |
Anforderungen
- Die neue KMS-Verschlüsselung mit plattformverwalteten Schlüsseln oder vom Kunden verwalteten Schlüsseln mit automatischer Schlüsseldrehung erfordert Kubernetes Version 1.33 oder höher.
- Die neue KMS-Verschlüsselung mit plattformverwalteten Schlüsseln oder vom Kunden verwalteten Schlüsseln mit automatischer Schlüsselrotation wird nur auf AKS-Clustern unterstützt, bei denen verwaltete Identität für die Identität des Clusters verwendet wird.
Einschränkungen
- Kein Downgrade: Nach dem Aktivieren der neuen KMS-Verschlüsselungsumgebung können Sie das Feature nicht deaktivieren.
- Schlüssellöschung: Durch das Löschen des Verschlüsselungsschlüssels oder des Schlüsselarchivs sind Ihre Geheimnisse nicht mehr wiederherstellbar.
- Zugriff auf private Endpunkte: Der Schlüsseltresorzugriff mit privatem Link/Endpunkt wird noch nicht unterstützt. Verwenden Sie für private Schlüsseltresore die Firewall-Ausnahme für vertrauenswürdige Dienste.