Müşteri tarafından yönetilen anahtarları kullanarak Redis için Azure Cache örnekleri için disk şifrelemesini yapılandırma
Redis sunucusundaki veriler varsayılan olarak bellekte depolanır. Bu veriler şifrelenmemiş. Önbelleğe yazmadan önce veriler üzerinde kendi şifrelemenizi uygulayabilirsiniz. Bazı durumlarda veriler, işletim sisteminin işlemleri veya dışarı aktarma veya veri kalıcılığı kullanarak verileri kalıcı hale getirmek için kasıtlı eylemler nedeniyle diskte bulunabilir.
Redis için Azure Cache, tüm katmanlardaki diskteki verileri şifrelemek için varsayılan olarak Microsoft tarafından yönetilen anahtarlar (MMK) olarak da bilen platform tarafından yönetilen anahtarlar (PMK) sunar. Redis için Azure Cache Enterprise ve Enterprise Flash katmanları ayrıca işletim sistemi ve veri kalıcılığı disklerini müşteri tarafından yönetilen bir anahtarla (CMK) şifreleme olanağı sunar. Müşteri tarafından yönetilen anahtarlar, bu anahtarlara erişimi denetlemek için MMK'leri sarmak için kullanılabilir. Bu, CMK'yi anahtar şifreleme anahtarı veya KEK yapar. Daha fazla bilgi için bkz . Azure'da anahtar yönetimi.
CMK disk şifrelemesi için kullanılabilirlik kapsamı
| Katman | Temel, Standart, Premium | Enterprise, Enterprise Flash |
|---|---|---|
| Microsoft tarafından yönetilen anahtarlar (MMK) | Yes | Yes |
| Müşteri tarafından yönetilen anahtarlar (CMK) | Hayır | Evet |
Uyarı
Varsayılan olarak, tüm Redis için Azure Cache katmanları önbellek örneklerine bağlı diskleri şifrelemek için Microsoft tarafından yönetilen anahtarları kullanır. Ancak Temel ve Standart katmanlarında C0 ve C1 SKU'ları disk şifrelemesini desteklemez.
Önemli
Premium katmanında veri kalıcılığı verileri doğrudan Azure Depolama akışla aktarır, bu nedenle disk şifrelemesi daha az önemlidir. Azure Depolama bunun yerine kullanılacak çeşitli şifreleme yöntemleri sunar.
Şifreleme kapsamı
Kurumsal katmanlar
Kurumsal katmanda, kalıcılık diskini, geçici dosyaları ve işletim sistemi diskini şifrelemek için disk şifrelemesi kullanılır:
- kalıcılık diski: Kalıcı RDB veya AOF dosyalarını veri kalıcılığının bir parçası olarak tutar
- dışarı aktarmada kullanılan geçici dosyalar: dışarı aktarılan geçici veriler şifrelenir. Verileri dışarı aktardığınızda, dışarı aktarılan son verilerin şifresi depolama hesabındaki ayarlar tarafından denetlener.
- işletim sistemi diski
MMK, bu diskleri varsayılan olarak şifrelemek için kullanılır, ancak CMK de kullanılabilir.
Enterprise Flash katmanında anahtarlar ve değerler de kalıcı olmayan bellek express (NVMe) flash depolama alanı kullanılarak kısmen diskte depolanır. Ancak, bu disk kalıcı veriler için kullanılan diskle aynı değildir. Bunun yerine kısa ömürlüdür ve önbellek durdurulduktan, serbest bırakıldıktan veya yeniden başlatıldıktan sonra veriler kalıcı olmaz. MmK yalnızca bu diskte desteklenir çünkü bu veriler geçici ve kısa ömürlüdür.
| Depolanan veriler | Disk | Şifreleme Seçenekleri |
|---|---|---|
| Kalıcılık dosyaları | Kalıcılık diski | MMK veya CMK |
| Dışarı aktarılmayı bekleyen RDB dosyaları | İşletim sistemi diski ve Kalıcılık diski | MMK veya CMK |
| Anahtarlar ve değerler (yalnızca Kurumsal Flash katmanı) | Geçici NVMe diski | MMK |
Diğer katmanlar
Temel, Standart ve Premium katmanlarında işletim sistemi diski varsayılan olarak MMK kullanılarak şifrelenir. Bağlı kalıcılık diski yoktur ve bunun yerine Azure Depolama kullanılır. C0 ve C1 SKU'ları disk şifrelemesi kullanmaz.
Ön koşullar ve sınırlamalar
Genel önkoşullar ve sınırlamalar
- C0 veya C1 SKU'ları için Temel ve Standart katmanlarda disk şifrelemesi kullanılamaz
- Azure Key Vault'a bağlanmak için yalnızca kullanıcı tarafından atanan yönetilen kimlik desteklenir. Sistem tarafından atanan yönetilen kimlik desteklenmiyor.
- Mevcut bir önbellek örneğinde MMK ile CMK arasında değişiklik, uzun süre çalışan bir bakım işlemini tetikler. Bir hizmet kesintisi oluştuğundan üretim kullanımı için bunu önermiyoruz.
Azure Key Vault önkoşulları ve sınırlamaları
- Müşteri tarafından yönetilen anahtarı içeren Azure Key Vault kaynağı önbellek kaynağıyla aynı bölgede olmalıdır.
- Azure Key Vault örneğinde temizleme koruması ve geçici silme etkinleştirilmelidir. Temizleme koruması varsayılan olarak etkin değildir.
- Azure Key Vault'ta güvenlik duvarı kurallarını kullandığınızda, Key Vault örneğinin güvenilen hizmetlere izin verecek şekilde yapılandırılması gerekir.
- Yalnızca RSA anahtarları desteklenir
- Kullanıcı tarafından atanan yönetilen kimliğe Anahtar Kasası erişim ilkelerinde Alma, Anahtarı Kaldırma ve Sarmalama izinleri veya Azure Rol Tabanlı Erişim Denetimi'ndeki eşdeğer izinler verilmelidir. Bu senaryo için en az ayrıcalıklara sahip önerilen yerleşik rol tanımı KeyVault Şifreleme Hizmeti Şifreleme Kullanıcısı olarak adlandırılır.
Kurumsal önbelleklerde CMK şifrelemesini yapılandırma
CMK etkinleştirilmiş yeni bir önbellek oluşturmak için portalı kullanma
Azure portalında oturum açın ve Redis Enterprise önbelleği oluşturma hızlı başlangıç kılavuzunu başlatın.
Gelişmiş sayfasında Bekleyen müşteri tarafından yönetilen anahtar şifrelemesi başlıklı bölüme gidin ve Müşteri tarafından yönetilen anahtar kullan seçeneğini etkinleştirin.
Kullanıcıya atanan yönetilen kimliği kaynağa atamak için Ekle'yi seçin. Bu yönetilen kimlik, müşteri tarafından yönetilen anahtarı barındıran Azure Key Vault örneğine bağlanmak için kullanılır.
Seçtiğiniz kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından kullanılacak anahtar giriş yöntemini seçin.
Azure anahtar kasasını seçin ve anahtar girişi yöntemini kullanıyorsanız müşteri tarafından yönetilen anahtarınızı barındıran Key Vault örneğini seçin. Bu örnek, önbelleğinizle aynı bölgede olmalıdır.
Not
Azure Key Vault örneği ayarlama yönergeleri için bkz . Azure Key Vault hızlı başlangıç kılavuzu. Yeni bir Key Vault örneği oluşturmak için Key Vault seçiminin altındaki Anahtar kasası oluştur bağlantısını da seçebilirsiniz. Key Vault örneğinizde hem temizleme korumasının hem de geçici silmenin etkinleştirilmesi gerektiğini unutmayın.
Müşteri tarafından yönetilen anahtar (RSA) ve Sürüm açılan listelerini kullanarak belirli anahtarı ve sürümü seçin.
URI giriş yöntemini kullanıyorsanız, Azure Key Vault'tan seçtiğiniz anahtar için Anahtar Tanımlayıcı URI'sini girin.
Önbelleğiniz için tüm bilgileri girdiğinizde Gözden geçir ve oluştur'u seçin.
Mevcut Kurumsal önbelleğe CMK şifrelemesi ekleme
Önbellek örneğinizin Kaynak menüsünde Şifreleme'ye gidin. CMK zaten ayarlanmışsa, anahtar bilgilerini görürsünüz.
Ayarlamadıysanız veya CMK ayarlarını değiştirmek istiyorsanız Şifreleme ayarlarını değiştir'i seçin
Yapılandırma seçeneklerinizi görmek için Müşteri tarafından yönetilen anahtar kullan'ı seçin.
Kullanıcıya atanan yönetilen kimliği kaynağa atamak için Ekle'yi seçin. Bu yönetilen kimlik, müşteri tarafından yönetilen anahtarı barındıran Azure Key Vault örneğine bağlanmak için kullanılır.
Seçtiğiniz kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından kullanılacak anahtar giriş yöntemini seçin.
Azure anahtar kasasını seçin ve anahtar girişi yöntemini kullanıyorsanız müşteri tarafından yönetilen anahtarınızı barındıran Key Vault örneğini seçin. Bu örnek, önbelleğinizle aynı bölgede olmalıdır.
Not
Azure Key Vault örneği ayarlama yönergeleri için bkz . Azure Key Vault hızlı başlangıç kılavuzu. Yeni bir Key Vault örneği oluşturmak için Key Vault seçiminin altındaki Anahtar kasası oluştur bağlantısını da seçebilirsiniz.
Müşteri tarafından yönetilen anahtar (RSA) açılan listesini kullanarak belirli bir anahtarı seçin. Anahtarın aralarından seçim yapabileceğiniz birden çok sürümü varsa Sürüm açılan listesini kullanın.
URI giriş yöntemini kullanıyorsanız, Azure Key Vault'tan seçtiğiniz anahtar için Anahtar Tanımlayıcı URI'sini girin.
Kaydet'i seçin.
Sonraki adımlar
Redis için Azure Cache özellikleri hakkında daha fazla bilgi edinin: