Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il servizio Azure Kubernetes archivia dati sensibili, ad esempio segreti Kubernetes in etcd, l'archivio chiave-valore distribuito usato da Kubernetes. Per garantire requisiti avanzati di sicurezza e conformità, AKS supporta la crittografia dei segreti Kubernetes a riposo utilizzando il provider Kubernetes Key Management Service (KMS) integrato con Azure Key Vault.
Questo articolo illustra i concetti chiave, i modelli di crittografia e le opzioni di gestione delle chiavi disponibili per la protezione dei segreti Kubernetes inattivi nel servizio Azure Kubernetes.
Comprensione della crittografia dei dati a riposo
La crittografia dei dati a riposo protegge i tuoi dati quando vengono archiviati su disco. Senza la crittografia dei dati a riposo, un attaccante che ottiene l'accesso all'archiviazione sottostante potrebbe potenzialmente leggere dati sensibili come i segreti di Kubernetes.
AKS fornisce la crittografia per i segreti Kubernetes archiviati in etcd.
| Livello | Description |
|---|---|
| Crittografia della piattaforma Azure | Azure Storage crittografa automaticamente tutti i dati inattivi utilizzando la crittografia AES a 256 bit. Questa crittografia è sempre abilitata e trasparente per gli utenti. |
| Crittografia del provider KMS | Livello facoltativo che crittografa i segreti Kubernetes prima di essere scritti in etcd usando chiavi archiviate in Azure Key Vault. |
Per altre informazioni sulle funzionalità di crittografia dei dati inattivi di Azure, vedere Crittografia dei dati di Azure inattivi e modelli di crittografia di Azure.
Provider KMS per la crittografia dei dati
Il provider del server di gestione delle chiavi Kubernetes è un meccanismo che consente la crittografia dei segreti Kubernetes inattivi usando un sistema di gestione delle chiavi esterno. Il servizio Azure Kubernetes Service (AKS) si integra con Azure Key Vault per fornire questa funzionalità, consentendoti di mantenere il controllo sulle chiavi di crittografia senza rinunciare ai vantaggi di sicurezza di un servizio Kubernetes gestito.
Funzionamento della crittografia KMS
Quando si abilita KMS per un cluster AKS:
- Creazione di segreti: quando viene creato un segreto, il server API Kubernetes invia i dati segreti al plug-in del provider del Servizio di gestione delle chiavi.
- Crittografia: il plug-in KMS crittografa i dati segreti usando una chiave DEK (Data Encryption Key), che viene crittografata usando una chiave di crittografia della chiave (KEK) archiviata in Azure Key Vault.
- Archiviazione: il segreto crittografato viene archiviato in etcd.
- Recupero dei segreti: quando un segreto viene letto, il plug-in KMS decifra la chiave DEK usando la KEK da Azure Key Vault, quindi usa la DEK per decrittografare i dati segreti.
Questo approccio di crittografia envelope offre vantaggi sia per la sicurezza che per le prestazioni. La chiave dek gestisce operazioni di crittografia frequenti in locale, mentre la chiave kek in Azure Key Vault fornisce la sicurezza di un sistema di gestione delle chiavi supportato dall'hardware.
Opzioni di gestione delle chiavi
AKS offre due opzioni di gestione delle chiavi per la crittografia KMS.
Chiavi gestite dalla piattaforma (PMK)
Con le chiavi gestite dalla piattaforma, AKS gestisce automaticamente le chiavi di crittografia per te.
- AKS crea e gestisce le chiavi di crittografia.
- La rotazione delle chiavi viene gestita automaticamente dalla piattaforma.
- Non è necessaria alcuna configurazione aggiuntiva né alcuna configurazione dell'insieme di credenziali delle chiavi.
Quando usare chiavi gestite dalla piattaforma:
- Si vuole eseguire la configurazione più semplice con una configurazione minima.
- Non si hanno requisiti normativi specifici che impongono chiavi gestite dal cliente.
- Si vuole eseguire la rotazione automatica delle chiavi senza intervento manuale.
Chiavi gestite dal cliente
Con le chiavi gestite dal cliente, si ha il controllo completo sulle chiavi di crittografia:
- È possibile creare e gestire chiavi di crittografia e Azure Key Vault personalizzate.
- L'utente controlla le pianificazioni e i criteri di rotazione delle chiavi.
Quando usare chiavi gestite dal cliente:
- Sono previsti requisiti normativi o di conformità che impongono chiavi gestite dal cliente.
- È necessario controllare il ciclo di vita chiave, incluse le pianificazioni di rotazione e le versioni chiave.
- Sono necessari i log di controllo per tutte le operazioni chiave.
Opzioni di accesso di rete per Key Vault
Quando si usano chiavi gestite dal cliente, è possibile configurare l'accesso di rete per Azure Key Vault:
| Accesso alla rete | Description | Caso d'uso |
|---|---|---|
| Public | Il key vault è accessibile tramite la rete Internet pubblica con autenticazione. | Ambienti di sviluppo, configurazione più semplice |
| Private | Key Vault ha l'accesso alla rete pubblica disabilitato. Il servizio AKS accede all'insieme di credenziali delle chiavi tramite l'eccezione del firewall per servizi attendibili. | Ambienti di produzione, sicurezza avanzata |
Confronto tra le opzioni della chiave di crittografia
| Caratteristica / Funzionalità | Chiavi gestite dalla piattaforma | Chiavi gestite dal cliente (pubblico) | Chiavi gestite dal cliente (privato) |
|---|---|---|---|
| Proprietà della chiave | Microsoft gestisce | Il cliente gestisce | Il cliente gestisce |
| Rotazione delle chiavi | Automatico | Configurabile dall'utente | Configurabile dall'utente |
| Creazione del Key Vault | Automatico | Il cliente crea | Il cliente crea |
| Isolamento della rete | N/A | NO | Yes |
Requisiti
- La nuova esperienza di crittografia KMS con chiavi gestite dalla piattaforma o chiavi gestite dal cliente, con rotazione automatica delle chiavi richiede la versione 1.33 o successiva di Kubernetes.
- La nuova esperienza di crittografia KMS con chiavi gestite dalla piattaforma o chiavi gestite dal cliente, entrambe con rotazione automatica delle chiavi è supportata solo nei cluster AKS in cui viene utilizzata l'identità gestita per l'identità del cluster.
Limitazioni
- Nessun downgrade: dopo aver abilitato la nuova esperienza di crittografia KMS (Servizio di gestione delle chiavi), non è possibile disabilitare la funzionalità.
- Eliminazione della chiave: l'eliminazione della chiave di crittografia o dell'archivio delle chiavi rende i segreti irrecuperabili.
- Accesso all'endpoint privato: l'accesso al Key Vault tramite private link/endpoint non è ancora supportato. Per i vault di chiavi private, usare l'eccezione del firewall per i servizi attendibili.