Configurar a criptografia de disco para instâncias do Cache do Azure para Redis usando chaves gerenciadas pelo cliente

  • Artigo

Os dados em um servidor Redis são armazenados na memória por padrão. Esses dados não são criptografados. Você pode implementar sua própria criptografia nos dados antes de gravá-los no cache. Em alguns casos, os dados podem residir no disco, seja devido às operações do sistema operacional ou devido a ações deliberadas para persistir os dados usando exportar ou persistência de dados .

O Cache do Azure para Redis oferece por padrão PMKs (chave de criptografia gerenciada pela plataforma), também conhecidas como MMKs (chaves gerenciadas pela Microsoft), para criptografar dados em disco em todas as camadas. As camadas Enterprise e Enterprise Flash do Cache do Azure para Redis oferecem adicionalmente a capacidade de criptografar os discos de persistência de dados e do sistema operacional com uma CMK (chave gerenciada pelo cliente). As chaves gerenciadas pelo cliente podem ser usadas para encapsular as MMKs para controlar o acesso a essas chaves. Isso torna a CMK uma chave de criptografia de chave ou KEK. Para saber mais, confira gerenciamento de chaves no Azure.

Escopo da disponibilidade para criptografia de disco CMK

Camada Básico, Standard e Premium Enterprise, Enterprise Flash
Chaves gerenciadas pela Microsoft (MMK) Sim Sim
Chaves gerenciadas pelo cliente (CMK) Não Sim

Aviso

Por padrão, todas as camadas do Cache do Azure para Redis usam chaves gerenciadas pela Microsoft para criptografar discos montados em instâncias de cache. No entanto, nas camadas Básica e Standard, os SKUs C0 e C1 não dão suporte a nenhuma criptografia de disco.

Importante

Na camada Premium, a persistência de dados transmite dados diretamente para o Armazenamento do Microsoft Azure, portanto, a criptografia de disco é menos importante. O Armazenamento do Microsoft Azure oferece uma variedade de métodos de criptografia para serem usados em seu lugar.

Cobertura da criptografia

Camadas Enterprise

Na camada Enterprise, a criptografia de disco é usada para criptografar o disco de persistência, os arquivos temporários e o disco do sistema operacional:

  • disco de persistência: mantém arquivos RDB ou AOF persistentes como parte da persistência de dados
  • arquivos temporários usados na exportação: os dados temporários usados e exportados são criptografados. Quando você exporta dados, a criptografia dos dados finais exportados é controlada pelas configurações na conta de armazenamento.
  • o disco do SO

A MMK é usada para criptografar esses discos por padrão, mas a CMK também pode ser usada.

Na camada Enterprise Flash, as chaves e os valores também são parcialmente armazenados no disco usando o armazenamento flash expresso de memória não volátil (NVMe). No entanto, esse disco não é o mesmo usado para dados persistentes. Em vez disso, é efêmero e os dados não são persistentes após o cache ser interrompido, desalocado ou reiniciado. O MMK só tem suporte nesse disco porque esses dados são transitórios e efêmeros.

Dados armazenados Disco Opções de Criptografia
Arquivos de Persistência Disco de persistência MMK ou CMK
Arquivos RDB aguardando para serem exportados Disco do SO e disco de Persistência MMK ou CMK
Chaves e valores (somente no nível Enterprise Flash) Disco NVMe transitório MMK

Outras camadas

Nas camadas Básico, Standard e Premium, o disco do sistema operacional é criptografado por padrão usando MMK. Não há disco de persistência montado e, em vez disso, o Armazenamento do Microsoft Azure é usado em seu lugar. As SKUs C0 e C1 não usam criptografia de disco.

Pré-requisitos e limitações

Pré-requisitos e limitações gerais

  • Criptografia de disco não está disponível nas camadas Básica e Standard para os SKUs C0 ou C1
  • Somente a identidade gerenciada atribuída pelo usuário possui suporte para se conectar ao Azure Key Vault. Não há suporte para identidade gerenciada atribuída pelo sistema.
  • Alterar entre MMK e CMK em uma instância de cache existente dispara uma operação de manutenção de longa duração. Não recomendamos isso para uso em produção, pois ocorre uma interrupção do serviço.

Pré-requisitos e limitações do Azure Key Vault

  • O recurso Azure Key Vault que contém a chave gerenciada pelo cliente deve estar na mesma região que o recurso de cache.
  • A proteção contra limpeza e a exclusão reversível devem estar habilitadas na instância do Azure Key Vault. A proteção contra limpeza não está habilitada por padrão.
  • Quando você usa regras de firewall no Azure Key Vault, a instância do Key Vault deve ser configurada para permitir serviços confiáveis.
  • Apenas chaves RSA são suportadas
  • A identidade gerenciada atribuída pelo usuário deve receber as permissões Obter, Desencapsular Chave e Encapsular Chave nas políticas de acesso do Key Vault ou as permissões equivalentes no Controle de Acesso Baseado em Funções do Azure. Uma definição de função interna recomendada com o mínimo de privilégios necessários para esse cenário é chamada de Usuário de Criptografia do Serviço de Criptografia do KeyVault.

Como configurar a criptografia CMK em caches corporativos

Usar o portal para criar um novo cache com a CMK ativada

  1. Entre no portal do Azure e inicie o guia de início rápido Criar um cache Redis Enterprise .

  2. Na página Avançado, vá para a seção intitulada Criptografia de chave gerenciada pelo cliente inativa e habilite a opção Usar uma chave gerenciada pelo cliente .

    Screenshot of the advanced settings with customer-managed key encryption checked and in a red box.

  3. Selecione Adicionar para atribuir uma identidade gerenciada atribuída pelo usuário para o recurso. Essa identidade gerenciada é usada para conectar à instância do Azure Key Vault que contém a chave gerenciada pelo cliente.

    Screenshot showing user managed identity in the working pane.

  4. Selecione a identidade gerenciada atribuída pelo usuário escolhido e escolha o método de entrada de chave a ser utilizado.

  5. Se estiver usando o método de entrada Selecione o cofre de chaves e a chave do Azure, escolha a instância Key Vault que contém sua chave gerenciada pelo cliente. Essa instância deve estar na mesma região do cache.

    Observação

    Para obter instruções sobre como configurar uma instância do Azure Key Vault, confira o Guia de início rápido do Azure Key Vault. Você também pode selecionar o link Criar um cofre de chaves abaixo da seleção Key Vault para criar uma nova instância do Key Vault. Lembre-se de que a proteção contra limpeza e a exclusão temporária devem estar habilitadas em sua instância do Key Vault.

  6. Escolha a chave e a versão específicas usando os menus suspensos Chave gerenciada pelo cliente (RSA) e Versão.

    Screenshot showing the select identity and key fields completed.

  7. Se estiver usando o método de entrada URI, insira o URI do Identificador de Chave da chave escolhida no Azure Key Vault.

  8. Quando você tiver inserido todas as informações do seu cache, selecione Examinar + criar.

Adicionar a criptografia CMK a um cache Enterprise existente

  1. Vá para Criptografia no menu Recursos da instância de cache. Se a CMK já estiver configurada, você verá as informações da chave.

  2. Se você não tiver configurado ou se quiser alterar as configurações da CMK, selecione Alterar configurações de criptografiaScreenshot encryption selected in the Resource menu for an Enterprise tier cache.

  3. Selecione Usar uma chave gerenciada pelo cliente para ver as opções de configuração.

  4. Selecione Adicionar para atribuir uma identidade gerenciada atribuída pelo usuário para o recurso. Essa identidade gerenciada é usada para conectar à instância do Azure Key Vault que contém a chave gerenciada pelo cliente.

  5. Selecione a identidade gerenciada atribuída pelo usuário escolhido e escolha qual método de entrada de chave usar.

  6. Se estiver usando o método de entrada Selecione o cofre de chaves e a chave do Azure, escolha a instância Key Vault que contém sua chave gerenciada pelo cliente. Essa instância deve estar na mesma região do cache.

    Observação

    Para obter instruções sobre como configurar uma instância do Azure Key Vault, confira o Guia de início rápido do Azure Key Vault. Você também pode selecionar o link Criar um cofre de chaves abaixo da seleção Key Vault para criar uma nova instância do Key Vault.

  7. Escolha a chave específica usando a lista suspensa Chave gerenciada pelo cliente (RSA). Se houver várias versões da chave para escolher, use a lista suspensa Versão. Screenshot showing the select identity and key fields completed for Encryption.

  8. Se estiver usando o método de entrada URI, insira o URI do Identificador de Chave da chave escolhida no Azure Key Vault.

  9. Selecione Salvar

Próximas etapas

Saiba mais sobre os recursos do Cache do Azure para Redis: