Freigeben über

Konfigurieren der Datenträgerverschlüsselung für Azure Cache for Redis-Instanzen mit kundenseitig verwalteten Schlüsseln

  • Gilt für:: ✅ Azure Cache for Redis

Wichtig

Azure Cache for Redis hat den Auslaufzeitplan für alle SKUs angekündigt. Es wird empfohlen, Ihren vorhandenen Azure-Cache für Redis-Instanzen in Azure Managed Redis zu verschieben, sobald Möglich.

Weitere Informationen zur Einstellung finden Sie unter:

Daten auf einem Redis-Server werden standardmäßig im Arbeitsspeicher gespeichert. Diese Daten werden nicht verschlüsselt. Sie können eine eigene Verschlüsselung für die Daten implementieren, bevor Sie sie in den Cache schreiben. In bestimmten Fällen können Daten auf einem Datenträger gespeichert werden – entweder aufgrund der Vorgänge des Betriebssystems oder aufgrund bewusster Aktionen zum persistenten Speichern von Daten mithilfe von Export oder Datenpersistenz.

Azure Cache for Redis bietet plattformseitig verwaltete Schlüssel (Platform-Managed Keys, PMKs), die auch als von Microsoft verwaltete Schlüssel (Microsoft Managed Keys, MMKs) bezeichnet werden, standardmäßig zum Verschlüsseln von Daten auf dem Datenträger auf allen Ebenen. Der Enterprise-Tarif und der Enterprise Flash-Tarif von Azure Cache for Redis ermöglichen zudem die Verschlüsselung des Betriebssystemdatenträgers und des Datenpersistenzdatenträgers mit einem kundenseitig verwalteten Schlüssel (CMK). Kundenseitig verwaltete Schlüssel können zum Umschließen der MMKs verwendet werden, um den Zugriff auf diese Schlüssel zu steuern. Dadurch wird der CMK zu einem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK). Weitere Informationen finden Sie unter Schlüsselverwaltung in Azure.

Verfügbarkeitsbereich für die CMK-Datenträgerverschlüsselung

  • Basic, Standard, Premium Tiers:

    • Von Microsoft verwaltete Schlüssel (MMK) werden für die Laufwerksverschlüsselung in den meisten Cachegrößen verwendet, mit Ausnahme der Basis- und Standardgrößen C0 und C1.
    • Vom Kunden verwaltete Schlüssel (CMK) werden nicht unterstützt.

  • Enterprise- und Enterprise Flash-Ebenen:

    • Von Microsoft verwaltete Schlüssel (MMK) werden unterstützt.
    • Vom Kunden verwaltete Schlüssel (CMK) werden unterstützt.

Warnung

Standardmäßig werden in allen Azure Cache for Redis-Tarifen verwaltete Schlüssel von Microsoft verwendet, um Datenträger zu verschlüsseln, die in Cache-Instanzen eingebunden sind. In den Ebenen "Einfach" und "Standard" unterstützen die SKUs C0 und C1 jedoch keine Datenträgerverschlüsselung.

Wichtig

Im Premium-Tarif werden Daten von der Datenpersistenz direkt an Azure Storage gestreamt, weshalb die Datenträgerverschlüsselung hier weniger wichtig ist. Azure Storage bietet verschiedene Verschlüsselungsmethoden, die stattdessen verwendet werden können.

Verschlüsselung für Enterprise-Ebene

Im Tarif Enterprise wird die Datenträgerverschlüsselung verwendet, um den Persistenzdatenträger, die temporären Dateien und den Betriebssystemdatenträger zu verschlüsseln:

  • Persistenzdatenträger: Enthält persistent gespeicherte RDB- oder AOF-Dateien als Teil der Datenpersistenz.
  • Temporäre Dateien, die beim Export verwendet werden: Temporäre Daten, die für Exportvorgänge verwendet werden, werden verschlüsselt. Wenn Sie Daten exportieren, wird die Verschlüsselung der endgültigen exportierten Daten durch Einstellungen im Speicherkonto gesteuert.
  • Betriebssystemdatenträger

Diese Datenträger werden standardmäßig mit einem MMK verwendet. Es kann aber auch ein CMK verwendet werden.

Im Tarif Enterprise Flash werden Schlüssel und Werte auch teilweise auf einem Datenträger gespeichert (unter Verwendung von NVMe-Flashspeicher). Dieser Datenträger ist jedoch nicht der gleiche Datenträger, der für persistente Daten verwendet wird. Stattdessen handelt es sich hierbei um einen kurzlebigen Datenträger, und die Daten bleiben nicht erhalten, nachdem der Cache beendet, die Zuordnung des Caches aufgehoben oder der Cache neu gestartet wurde. Für diesen Datenträger werden nur MMKs unterstützt, da die Daten flüchtig und kurzlebig sind.

Gespeicherte Daten Datenträger Verschlüsselungsoptionen
Persistenzdateien Persistenzdatenträger MMK oder CMK
RDB-Dateien für den Export Betriebssystemdatenträger und Persistenzdatenträger MMK oder CMK
Schlüssel und Werte (nur Enterprise Flash-Tarif) Kurzlebiger NVMe-Datenträger MMK

Verschlüsselung für die Stufen "Basic", "Standard" und "Premium"

In den Tarifen Basic, Standard und Premium wird der Betriebssystemdatenträger standardmäßig mit einem MMK verschlüsselt. Es wird kein Persistenzdatenträger eingebunden. Stattdessen wird Azure Storage verwendet. Die C0- und C1-SKUs verwenden keine Datenträgerverschlüsselung.

Voraussetzungen und Einschränkungen

Allgemeine Voraussetzungen und Einschränkungen

  • Die Datenträgerverschlüsselung ist in den Tarifen „Basic“ und „Standard“ für die C0- oder C1-SKUs nicht verfügbar.
  • Für die Verbindungsherstellung mit Azure Key Vault wird nur eine benutzerseitig zugewiesene verwaltete Identität unterstützt. Die vom System zugewiesene verwaltete Identität wird nicht unterstützt.
  • Der Wechsel zwischen MMK und CMK für eine bereits vorhandene Cache-Instanz löst einen zeitintensiven Wartungsvorgang aus. Es wird davon abgeraten, dies in der Produktion zu verwenden, da es zu einer Dienstunterbrechung kommt.

Voraussetzungen und Einschränkungen für Azure Key Vault

  • Die Azure Key Vault-Ressource, die den kundenseitig verwalteten Schlüssel enthält, muss sich in der gleichen Region befinden wie die Cacheressource.
  • Löschschutz und vorläufiges Löschen müssen in der Azure Key Vault-Instanz aktiviert sein. Der Löschschutz ist standardmäßig nicht aktiviert.
  • Wenn Sie Firewallregeln in Azure Key Vault verwenden, muss die Key Vault-Instanz so konfiguriert sein, dass vertrauenswürdige Dienste zugelassen werden.
  • Es werden nur RSA-Schlüssel unterstützt.
  • Der benutzerseitig zugewiesenen verwalteten Identität müssen in den Key Vault-Zugriffsrichtlinien die Berechtigungen Abrufen, Schlüssel entpacken und Schlüssel packen oder die entsprechenden Berechtigungen innerhalb der rollenbasierten Zugriffssteuerung in Azure erteilt werden. Eine empfohlene integrierte Rollendefinition mit den geringstmöglichen Berechtigungen, die für dieses Szenario erforderlich sind, wird als Key Vault Crypto Service Encryption-Benutzer*in bezeichnet.

Konfigurieren der CMK-Verschlüsselung in Enterprise-Caches

Verwenden des Portals zum Erstellen eines neuen Caches mit aktiviertem CMK

  1. Erstellen Sie einen Redis Enterprise-Cache.

  2. Navigieren Sie auf der Seite Erweitert zum Abschnitt Kundenseitig verwalteter Schlüssel für die Verschlüsselung ruhender Daten, und aktivieren Sie die Option Kundenseitig verwalteten Schlüssel verwenden.

    Screenshot: Erweiterte Einstellungen mit aktivierter Verschlüsselung mit kundenseitig verwaltetem Schlüssel, umgeben von einem roten Kasten.

  3. Wählen Sie Hinzufügen aus, um der Ressource eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen. Diese verwaltete Identität wird verwendet, um eine Verbindung mit der Instanz von Azure Key Vault herzustellen, die den kundenseitig verwalteten Schlüssel enthält.

    Screenshot: Benutzerseitig verwaltete Identität im Arbeitsbereich.

  4. Wählen Sie die von Ihnen gewählte benutzerseitig zugewiesene verwaltete Identität und anschließend die zu verwendende Schlüsseleingabemethode aus.

  5. Wenn Sie die Select Azure Key Vault- und Schlüsseleingabemethode verwenden, wählen Sie die Key Vault-Instanz aus, die Ihren vom Kunden verwalteten Schlüssel enthält. Diese Instanz muss sich in der gleichen Region befinden wie Ihr Cache.

    Hinweis

    Eine Anleitung zum Einrichten einer Azure Key Vault-Instanz finden Sie unter Schnellstart: Festlegen eines Geheimnisses und Abrufen des Geheimnisses aus Azure Key Vault mithilfe des Azure-Portals. Sie können auch unter der Key Vault-Auswahl den Link Schlüsseltresor erstellen auswählen, um eine neue Key Vault-Instanz zu erstellen. Denken Sie daran, dass sowohl der Bereinigungsschutz als auch das vorläufige Löschen in Ihrer Key Vault-Instanz aktiviert sein müssen.

  6. Wählen Sie mithilfe der Dropdownlisten Kundenseitig verwalteter Schlüssel (RSA) und Version den spezifischen Schlüssel und die Version aus.

    Screenshot: Ausgefüllte Felder zum Auswählen der Identität und des Schlüssels.

  7. Geben Sie bei Verwendung der Eingabemethode URI den Schlüsselbezeichner-URI für den ausgewählten Schlüssel aus Azure Key Vault ein.

  8. Wenn Sie alle Informationen für Den Cache eingeben, wählen Sie "Überprüfen" und "Erstellen" aus.

Hinzufügen der CMK-Verschlüsselung zu einem bereits vorhandenen Enterprise-Cache

  1. Navigieren Sie im Ressourcenmenü Ihrer Cache-Instanz zu Verschlüsselung. Wenn CMK bereits eingerichtet ist, werden die Schlüsselinformationen angezeigt.

  2. Wenn Sie CMK nicht eingerichtet haben oder CMK-Einstellungen ändern möchten, wählen Sie "Verschlüsselungseinstellungen ändern" aus. Screenshotverschlüsselung, die im Menü

  3. Wählen Sie Kundenseitig verwalteten Schlüssel verwenden aus, um die Konfigurationsoptionen anzuzeigen.

  4. Wählen Sie Hinzufügen aus, um der Ressource eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen. Diese verwaltete Identität wird verwendet, um eine Verbindung mit der Instanz von Azure Key Vault herzustellen, die den kundenseitig verwalteten Schlüssel enthält.

  5. Wählen Sie die von Ihnen gewählte benutzerseitig zugewiesene verwaltete Identität und anschließend die zu verwendende Schlüsseleingabemethode aus.

  6. Wenn Sie die Select Azure Key Vault- und Schlüsseleingabemethode verwenden, wählen Sie die Key Vault-Instanz aus, die Ihren vom Kunden verwalteten Schlüssel enthält. Diese Instanz muss sich in der gleichen Region befinden wie Ihr Cache.

    Hinweis

    Eine Anleitung zum Einrichten einer Azure Key Vault-Instanz finden Sie unter Schnellstart: Festlegen eines Geheimnisses und Abrufen des Geheimnisses aus Azure Key Vault mithilfe des Azure-Portals. Sie können auch unter der Key Vault-Auswahl den Link Schlüsseltresor erstellen auswählen, um eine neue Key Vault-Instanz zu erstellen.

  7. Wählen Sie mithilfe der Dropdownliste Kundenseitig verwalteter Schlüssel (RSA) den spezifischen Schlüssel aus. Stehen mehrere Versionen des Schlüssels zur Auswahl, verwenden Sie die Dropdownliste Version. Screenshot: Ausgefüllte Felder zum Auswählen der Identität und des Schlüssels für die Verschlüsselung.

  8. Geben Sie bei Verwendung der Eingabemethode URI den Schlüsselbezeichner-URI für den ausgewählten Schlüssel aus Azure Key Vault ein.

  9. Wählen Sie Speichern aus.

Nächste Schritte

Erfahren Sie mehr über Azure Cache for Redis-Features:

  • Last updated on