Konfigurieren der Datenträgerverschlüsselung für Azure verwaltete Redis-Instanzen mithilfe von vom Kunden verwalteten Schlüsseln

  • Gilt für:: ✅ Azure Managed Redis

Daten auf einem Redis-Server werden standardmäßig im Arbeitsspeicher gespeichert. Diese Daten werden nicht verschlüsselt. Sie können eine eigene Verschlüsselung für die Daten implementieren, bevor Sie sie in den Cache schreiben. In einigen Fällen können sich Daten auf dem Datenträger befinden, entweder aufgrund der Vorgänge des Betriebssystems oder aufgrund absichtlicher Aktionen zum Speichern von Daten mithilfe von Export - oder Datenpersistenz.

Azure Managed Redis bietet standardmäßig plattformverwaltete Schlüssel (PMKs), auch als Microsoft-verwaltete Schlüssel (MMKs) bezeichnet, zur Verschlüsselung von Daten auf Datenträgern in allen Tarifen. Azure Managed Redis bietet zusätzlich die Möglichkeit, das Betriebssystem und die Datenpersistenzdatenträger mithilfe eines vom Kunden verwalteten Schlüssels (CMK) zu verschlüsseln. Verwenden Sie vom Kunden verwaltete Schlüssel, um die MMKs umzuschließen und den Zugriff auf diese Schlüssel zu steuern. Dieser Schlüssel macht den CMK zu einem Schlüsselverschlüsselungsschlüssel oder KEK. Weitere Informationen finden Sie unter Schlüsselverwaltung in Azure.

Verfügbarkeitsbereich für die CMK-Datenträgerverschlüsselung

Tarif Arbeitsspeicheroptimiert, Ausgewogen, Rechenoptimiert Flash-optimiert
Von Microsoft verwaltete Schlüssel (Microsoft Managed Keys, MMKs) Ja Ja
Kundenseitig verwaltete Schlüssel (Customer Managed Keys, CMKs) Ja Ja

Datenträgerverschlüsselungsabdeckung in Azure verwalteten Redis

In Azure verwalteten Redis schützt die Datenträgerverschlüsselung den Persistenzdatenträger, temporäre Dateien und den Betriebssystemdatenträger:

  • Persistenzdatenträger: Enthält permanente RDB- oder AOF-Dateien als Teil der Datenpersistenz.
  • Temporäre Dateien, die im Export verwendet werden: Verschlüsselt temporäre Daten, die während des Exports verwendet werden. Beim Exportieren von Daten steuern die Speicherkontoeinstellungen die Verschlüsselung der endgültigen exportierten Daten.
  • Betriebssystemdatenträger

MMK wird immer verwendet, um diese Datenträger standardmäßig zu verschlüsseln, und CMK kann oben hinzugefügt werden, um den Zugriff auf den Datenverschlüsselungsschlüssel zu steuern.

Im Tarif Für Flash optimiert werden Schlüssel und Werte auch teilweise auf einem Datenträger gespeichert unter Verwendung von NVMe (nonvolatile memory express)-Flashspeicher. Dieser Datenträger ist jedoch nicht der gleiche Datenträger, der für persistente Daten verwendet wird. Stattdessen ist es kurzlebig, d. h., die Daten werden nicht beibehalten, nachdem der Cache beendet, abgeglichen oder neu gestartet wurde. Nur MMK wird auf diesem Datenträger unterstützt, da diese Daten kurzlebig sind.

Gespeicherte Daten Datenträger Verschlüsselungsoptionen
Persistenzdateien persistenter Datenträger MMK oder CMK
RDB-Dateien für den Export Betriebssystemdatenträger und Persistenzdatenträger MMK oder CMK
Schlüssel und Werte (nur im Flash-optimierten Tarif) Kurzlebiger NVMe-Datenträger MMK

Voraussetzungen und Einschränkungen

Allgemeine Voraussetzungen und Einschränkungen

  • Um eine Verbindung mit Azure Key Vault herzustellen, verwenden Sie nur die vom Benutzer zugewiesene verwaltete Identität. Die vom System zugewiesene verwaltete Identität wird nicht unterstützt.
  • Der Wechsel zwischen MMK und CMK für eine bereits vorhandene Cache-Instanz löst einen zeitintensiven Wartungsvorgang aus. Verwenden Sie diesen Vorgang nicht in der Produktion, da er eine Dienstunterbrechung verursacht.

Voraussetzungen und Einschränkungen für Azure Key Vault

  • Die Azure Key Vault-Ressource, die den kundenseitig verwalteten Schlüssel enthält, muss sich in der gleichen Region befinden wie die Cacheressource.
  • Schutz vor endgültigem Löschen und vorläufiges Löschen müssen in der Azure-Key-Vault-Instanz aktiviert sein. Der Löschschutz ist standardmäßig nicht aktiviert.
  • Wenn Sie Firewallregeln im Azure Key Vault verwenden, müssen Sie die Key Vault Instanz so konfigurieren, dass vertrauenswürdige Dienste zugelassen werden.
  • Nur RSA-Schlüssel werden unterstützt.
  • Sie müssen der benutzerseitig zugewiesenen verwalteten Identität die Berechtigungen Get, Unwrap Key und Wrap Key in den Key Vault-Zugriffsrichtlinien gewähren oder die entsprechenden Berechtigungen in der rollenbasierten Zugriffssteuerung von Azure. Eine empfohlene integrierte Rollendefinition mit den geringstmöglichen Berechtigungen, die für dieses Szenario erforderlich sind, wird als Key Vault Crypto Service Encryption-Benutzer*in bezeichnet.

Konfigurieren der CMK-Verschlüsselung in Azure Managed Redis

Verwenden des Portals zum Erstellen eines neuen Caches mit aktiviertem CMK

  1. Melden Sie sich beim Azure-Portal an, und starten Sie die Schnellstartanleitung Erstellen einer Azure Managed Redis-Instanz.

  2. Navigieren Sie auf der Seite Erweitert zum Abschnitt Kundenseitig verwalteter Schlüssel für die Verschlüsselung ruhender Daten, und aktivieren Sie die Option Kundenseitig verwalteten Schlüssel verwenden.

    Screenshot der Seite „Erweiterte Einstellungen“ mit aktivierter und rot umrahmter Option für die kundenseitig verwalteten Schlüssel und ruhende Daten.

  3. Wählen Sie Hinzufügen aus, um der Ressource eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen. Diese verwaltete Identität wird verwendet, um eine Verbindung mit der Instanz von Azure Key Vault herzustellen, die den kundenseitig verwalteten Schlüssel enthält.

    Screenshot des Auswahlbereichs für die benutzerseitig zugewiesene verwaltete Identität für die Verschlüsselung mit kundenseitig verwalteten Schlüsseln in Azure Managed Redis.

  4. Wählen Sie die von Ihnen gewählte benutzerseitig zugewiesene verwaltete Identität und anschließend die zu verwendende Schlüsseleingabemethode aus.

  5. Wenn Sie die Select Azure Key Vault- und Keyeingabemethode auswählen, wählen Sie die Key Vault Instanz aus, die Ihren vom Kunden verwalteten Schlüssel enthält. Diese Instanz muss sich in der gleichen Region befinden wie Ihr Cache.

    Hinweis

    Anweisungen zum Einrichten einer Azure Key Vault-Instanz finden Sie im Azure Key Vault-Schnellstartleitfaden. Sie können auch unterhalb der Key Vault-Auswahl auf den Link Key Vault erstellen klicken, um eine neue Key Vault-Instanz zu erstellen. Denken Sie daran, dass sowohl der Bereinigungsschutz als auch das vorläufige Löschen in Ihrer Key Vault-Instanz aktiviert sein müssen.

  6. Wählen Sie den spezifischen Schlüssel und die Version mithilfe der Dropdownliste "Customer-managed key" (RSA) und "Version " aus.

    Screenshot der ausgefüllten Felder für Identität und die Version des kundenseitig verwalteten Schlüssels in der Konfiguration der Datenträgerverschlüsselung.

  7. Wenn Sie die URI-Eingabemethode auswählen, geben Sie den Schlüsselbezeichner-URI für den ausgewählten Schlüssel aus Azure Key Vault ein.

  8. Wenn Sie alle Informationen für Den Cache eingeben, wählen Sie "Überprüfen" und "Erstellen" aus.

Hinzufügen der CMK-Verschlüsselung zu einer vorhandenen Azure Managed Redis-Instanz

  1. Wechseln Sie zum Abschnitt "Verschlüsselung " im Menü "Ressource" Ihrer Cacheinstanz. Wenn CMK bereits eingerichtet ist, werden die Schlüsselinformationen angezeigt.

  2. Wenn Sie CMK nicht eingerichtet haben oder wenn Sie CMK-Einstellungen ändern möchten, wählen Sie "Verschlüsselungseinstellungen ändern" aus. Screenshot der option

  3. Wählen Sie Kundenseitig verwalteten Schlüssel verwenden aus, um die Konfigurationsoptionen anzuzeigen.

  4. Wählen Sie Hinzufügen aus, um der Ressource eine benutzerseitig zugewiesene verwaltete Identität zuzuweisen. Diese verwaltete Identität wird verwendet, um eine Verbindung mit der Instanz von Azure Key Vault herzustellen, die den kundenseitig verwalteten Schlüssel enthält.

  5. Wählen Sie die von Ihnen gewählte benutzerseitig zugewiesene verwaltete Identität und anschließend die zu verwendende Schlüsseleingabemethode aus.

  6. Wenn Sie die Select Azure Key Vault- und Keyeingabemethode auswählen, wählen Sie die Key Vault Instanz aus, die Ihren vom Kunden verwalteten Schlüssel enthält. Diese Instanz muss sich in der gleichen Region befinden wie Ihr Cache.

    Hinweis

    Anweisungen zum Einrichten einer Azure Key Vault-Instanz finden Sie im Azure Key Vault-Schnellstartleitfaden. Sie können auch unterhalb der Key Vault-Auswahl auf den Link Key Vault erstellen klicken, um eine neue Key Vault-Instanz zu erstellen.

  7. Wählen Sie mithilfe der Dropdownliste Kundenseitig verwalteter Schlüssel (RSA) den spezifischen Schlüssel aus. Stehen mehrere Versionen des Schlüssels zur Auswahl, verwenden Sie die Dropdownliste Version. Screenshot der ausgefüllten Felder für Identität und kundenseitig verwaltete Schlüssel auf der Seite „Verschlüsselungseinstellungen“ für einen vorhandenen Cache.

  8. Wenn Sie die URI-Eingabemethode auswählen, geben Sie den Schlüsselbezeichner-URI für den ausgewählten Schlüssel aus Azure Key Vault ein.

  9. Wählen Sie Speichern aus.

Schlüsselrotation für vom Kunden verwaltete Schlüssel

Planen Sie die Schlüsselrotation und den Ablauf für kryptografische Schlüssel als bewährte Sicherheitsmaßnahme ein. Azure Managed Redis erkennt automatisch die neueste Version des in Azure Key Vault konfigurierten Schlüssels und verwendet sie.

Es erkennt und verwendet innerhalb von zwei Stunden nach Auslösung der Rotation eine neue Schlüsselversion. Deaktivieren Sie den Schlüssel oder lassen Sie ihn erst nach Ablauf dieses zweistündigen Zeitfensters ablaufen. Andernfalls riskieren Sie, dass der Cache aufgrund des verlorenen Zugriffs auf den Schlüssel offline wird. Die Schlüsseldrehung schließt den zugrunde liegenden Datenverschlüsselungsschlüssel um und verursacht keine Unterbrechungen.

Hinweis

Die Rotationsgarantie innerhalb von zwei Stunden gilt nur für die Azure Managed Redis. Andere Dienste können unterschiedliche Garantien hinsichtlich der Schlüsselrotation bieten.

Um zu überprüfen, ob die Schlüsselrotation abgeschlossen wurde, sehen Sie sich im Azure-Portal die verwendete Schlüsselversion an, wenn Sie im Ressourcenmenü Verschlüsselung anzeigen.

Nächste Schritte

  • Last updated on