Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Kubernetes Service (AKS) slaat gevoelige gegevens op, zoals Kubernetes-geheimen in enzovoort, het gedistribueerde sleutel-waardearchief dat wordt gebruikt door Kubernetes. Voor verbeterde beveiligings- en nalevingsvereisten ondersteunt AKS versleuteling van Kubernetes-geheimen in rust met behulp van de KMS-provider (Kubernetes Key Management Service) die is geïntegreerd met Azure Key Vault.
In dit artikel worden de belangrijkste concepten, versleutelingsmodellen en sleutelbeheeropties beschreven die beschikbaar zijn voor het beveiligen van Kubernetes-geheimen in rust in AKS.
Inzicht in gegevensversleuteling bij rust
Gegevensversleuteling-at-rest beschermt uw gegevens wanneer deze op schijf worden opgeslagen. Zonder versleuteling in rust kan een aanvaller die toegang krijgt tot de onderliggende opslag gevoelige gegevens, zoals Kubernetes-gegevens, lezen.
AKS biedt versleuteling voor Kubernetes-geheimen die zijn opgeslagen in etcd:
| Laag | Description |
|---|---|
| Azure-platformversleuteling | Azure Storage versleutelt automatisch alle gegevens in rust met behulp van 256-bits AES-encryptie. Deze versleuteling is altijd ingeschakeld en transparant voor gebruikers. |
| KMS-providerversleuteling | Een optionele laag waarmee Kubernetes-geheimen worden versleuteld voordat ze naar enzovoort worden geschreven met behulp van sleutels die zijn opgeslagen in Azure Key Vault. |
Zie Azure-gegevensversleuteling-at-rest - en Azure-versleutelingsmodellen voor meer informatie over de versleutelings-at-rest-mogelijkheden van Azure.
KMS-provider voor gegevensversleuteling
De Kubernetes KMS-provider is een mechanisme dat versleuteling van Kubernetes-geheimen in rust mogelijk maakt met behulp van een extern sleutelbeheersysteem. AKS kan worden geïntegreerd met Azure Key Vault om deze mogelijkheid te bieden, zodat u controle hebt over versleutelingssleutels terwijl u de beveiligingsvoordelen van een beheerde Kubernetes-service behoudt.
Hoe KMS-versleuteling werkt
Wanneer u KMS inschakelt voor een AKS-cluster:
- Geheim maken: wanneer een geheim wordt gemaakt, verzendt de Kubernetes-API-server de geheime gegevens naar de invoegtoepassing van de KMS-provider.
- Versleuteling: de KMS-invoegtoepassing versleutelt de geheime gegevens met behulp van een DEK (Data Encryption Key), die zelf wordt versleuteld met behulp van een KEK (Key Encryption Key) die is opgeslagen in Azure Key Vault.
- Opslag: Het versleutelde geheim wordt opgeslagen in etcd.
- Geheim ophalen: wanneer een geheim wordt gelezen, ontsleutelt de KMS-invoegtoepassing de DEK met behulp van de KEK van Azure Key Vault en gebruikt de DEK vervolgens om de geheime gegevens te ontsleutelen.
Deze benadering voor envelopversleuteling biedt zowel beveiligings- als prestatievoordelen. De DEK verwerkt frequente versleutelingsbewerkingen lokaal terwijl de KEK in Azure Key Vault de beveiliging biedt van een door hardware ondersteund sleutelbeheersysteem.
Opties voor sleutelbeheer
AKS biedt twee opties voor sleutelbeheer voor KMS-versleuteling:
Door platform beheerde sleutels (PMK)
Met door het platform beheerde sleutels beheert AKS automatisch de versleutelingssleutels voor u:
- AKS maakt en beheert de versleutelingssleutels.
- Sleutelrotatie wordt automatisch verwerkt door het platform.
- Er is geen extra configuratie of key vault-installatie vereist.
Wanneer gebruikt u door platform beheerde sleutels:
- U wilt de eenvoudigste configuratie met minimale configuratie.
- U hebt geen specifieke wettelijke vereisten die door de klant beheerde sleutels verplicht stellen.
- U wilt automatische sleutelrotatie zonder handmatige tussenkomst.
Door de klant beheerde sleutels (CMK)
Met door de klant beheerde sleutels hebt u volledige controle over de versleutelingssleutels:
- U maakt en beheert uw eigen Azure Key Vault en versleutelingssleutels.
- U beheert de schema's en het beleid voor sleutelrotatie.
Wanneer gebruikt u door de klant beheerde sleutels:
- U hebt wettelijke of nalevingsvereisten die door de klant beheerde sleutels verplicht stellen.
- U moet de levenscyclus van de sleutel beheren, inclusief rotatieschema's en sleutelversies.
- U hebt auditlogboeken nodig voor alle belangrijke bewerkingen.
Opties voor netwerktoegang tot Key Vault
Wanneer u door de klant beheerde sleutels gebruikt, kunt u de netwerktoegang voor uw Azure Key Vault configureren:
| Netwerktoegang | Description | Gebruiksituatie |
|---|---|---|
| Public | Key Vault is toegankelijk via het openbare internet met verificatie. | Ontwikkelomgevingen, eenvoudigere installatie |
| privé | Key Vault heeft openbare netwerktoegang uitgeschakeld. AKS opent de sleutelkluis via de firewall-uitzondering voor vertrouwde services. | Productieomgevingen, verbeterde beveiliging |
Opties voor versleutelingssleutels vergelijken
| Eigenschap | Door platform beheerde sleutels | Door de klant beheerde sleutels (openbaar) | Door de klant beheerde sleutels (privé) |
|---|---|---|---|
| Eigendom van sleutel | Microsoft beheert | Klant beheert | Klant beheert |
| Sleutelrotatie | Automatisch | Door de gebruiker configureerbaar | Door de gebruiker configureerbaar |
| Sleutelkluis maken | Automatisch | Klant maakt | Klant maakt |
| Netwerkisolatie | N/A | Nee. | Yes |
Requirements
- Voor de nieuwe KMS-versleuteling met door het platform beheerde sleutels of door de klant beheerde sleutels met automatische sleutelrotatie is Kubernetes versie 1.33 of hoger vereist.
- De nieuwe KMS-versleuteling met door het platform beheerde sleutels of door de klant beheerde sleutels met automatische sleutelrotatie wordt alleen ondersteund op AKS-clusters waarbij beheerde identiteit wordt gebruikt voor de identiteit van het cluster.
Beperkingen
- Geen downgrade: nadat u de nieuwe KMS-versleutelingservaring hebt ingeschakeld, kunt u de functie niet uitschakelen.
- Sleutelverwijdering: als u de versleutelingssleutel of sleutelkluis verwijdert, kunnen uw geheimen niet meer worden hersteld.
- Toegang tot privé-eindpunten: Key Vault-toegang met behulp van private link/eindpunt wordt nog niet ondersteund. Gebruik voor persoonlijke sleutelkluizen de firewall-uitzondering voor vertrouwde services.