Azure 受管理快取服務的資訊安全模型
重要
Microsoft 建議使用 Azure Redis 快取的所有新開發。 如需選擇 Azure 快取供應專案的目前檔和指引,請參閱 哪一個 Azure 快取供應專案適合我?
受控快取服務可讓您藉由要求用戶端應用程式使用存取金鑰組快取進行驗證,來控制快取的存取。 受控快取服務也可讓您保護用戶端應用程式與快取之間的通道通訊。 本主題提供使用存取金鑰的控制存取概觀,以及保護您快取的通訊。
本節內容
使用存取金鑰控制存取
- 如何:執行滾動更新
保護快取用戶端和快取間的通訊
使用存取金鑰控制存取
為了確保僅有專門的用戶端應用程式可以存取您的快取,所有用戶端都必須提供快取的存取金鑰。
當您使用管理入口網站建立快取時,其會預先設定兩個存取金鑰:主要存取金鑰和次要存取金鑰。 您可以按一下 [快取] 的 Quickstart 索引標籤或 [快取] [儀表板] 中的 [管理金鑰] 加以擷取。
.jpg "Manage Access Keys for Windows Azure Cache Service")
這些存取金鑰會用來設定您的用戶端應用程式。
注意
通常會使用主要存取金鑰,當重新產生主要存取金鑰時,次要存取金鑰會用來執行回復更新。 下一節將說明此程式:如何:執行滾動更新。
若要指定用戶端應用程式中的快取存取金鑰,請開啟應用程式的 web.config 或 app.config 檔案,並在 securityProperties 區段中尋找 dataCacheClients 元素。
<!--<securityProperties mode="Message" sslEnabled="false">
<messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>-->
取消註解此片段並以主要存取金鑰取代 [驗證金鑰]。 若驗證金鑰並未適當設定,用戶端就無法連線至快取。
注意
僅有快取 NuGet 封裝會新增 securityProperties 和 dataCacheClients 區段以設定快取用戶端。 如需詳細資訊,請參閱使用快取NuGet套件設定快取用戶端。
系統也會提供次要存取金鑰,讓您可以使用回復更新來更新金鑰,而您的應用程式也不會因為金鑰變更而發生停機。
如何:執行滾動更新
若是您需要重新產生主要存取金鑰的情況,例如要遵循公司原則,或是存取金鑰已危及公司原則,您可以執行以下步驟。
更新快取用戶端應用程式的設定,以使用次要存取金鑰。
在管理入口網站中的 [管理存取金鑰] 對話方塊中,針對主要存取金鑰按一下 [重新產生]。
更新快取用戶端應用程式的設定,以使用新重新產生的主要存取金鑰。
重新產生次要存取金鑰。
保護快取用戶端和快取間的通訊
受控快取服務可讓您保護用戶端應用程式與快取之間的通訊。 若要這樣做,請設定您應用程式的 web.config 或 app.config 檔案的 sslEnabled = true 區段中的 securityProperties 元素中的 dataCacheClients。 如此會確保用戶端和快取間的通訊都發生在 TLS。
<securityProperties mode="Message" sslEnabled="true">
<messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>
根據預設, sslEnabled 會設定為 false,而且如果未 sslEnabled 指定屬性,則所使用的值為 false。
用戶端與裝載于相同 Azure 區域中的快取之間的通訊已經安全。 如果您的快取裝載于與用戶端應用程式相同的 Azure 區域中,建議將 設定 sslEnabled 為 false。 由於使用 SSL 時會有一些額外負荷,因此當快取和快取用戶端位於相同區域中時,將 設定 sslEnabled 為 true 會不必要地降低快取效能。
如果無法在相同的 Azure 區域中同時擁有快取和快取用戶端,則您的應用程式可以藉由將 設定 sslEnabled 為 true來接收加密通訊的優點。 注意為了最佳效能 (並非只與 sslEnabled 相關的設定),請在與快取用戶端應用程式相同的區域中尋找快取。