Configurare la crittografia del disco per Azure istanze di Redis gestite usando chiavi gestite dal cliente

  • Si applica a: ✅ Azure Managed Redis

I dati in un server Redis vengono archiviati in memoria per impostazione predefinita. I dati non vengono crittografati. È possibile implementare la crittografia personalizzata sui dati prima di scriverli nella cache. In alcuni casi, i dati possono risiedere su disco, a causa delle operazioni del sistema operativo oppure di azioni deliberate volte a mantenere i dati persistenti utilizzando l'esportazione o la persistenza dei dati.

Azure Managed Redis offre chiavi gestite dalla piattaforma (PMK), note anche come chiavi gestite da Microsoft (MMK), per impostazione predefinita per crittografare i dati su disco in tutti i livelli. Azure Redis gestito offre anche la possibilità di crittografare i dischi di persistenza dei dati e del sistema operativo usando una chiave gestita dal cliente . Usa le chiavi gestite dal cliente per proteggere gli MMK e controllare l'accesso a queste chiavi. Questa chiave fa della CMK una chiave di crittografia delle chiavi o KEK. Per ulteriori informazioni, consultare Gestione delle chiavi in Azure.

Ambito della disponibilità per la crittografia del disco CMK

Livello Ottimizzato per la memoria, bilanciato, ottimizzato per il calcolo Ottimizzato per Flash
Chiavi gestite da Microsoft (MMK)
Chiavi gestite dal cliente (CMK)

Supporto della crittografia dei dischi in Azure Managed Redis

In Azure Redis gestita, la crittografia del disco protegge il disco di persistenza, i file temporanei e il disco del sistema operativo:

  • Disco di persistenza: contiene file RDB o AOF persistenti come parte della persistenza dei dati.
  • File temporanei usati nell'esportazione: crittografa i dati temporanei usati durante l'esportazione. Quando si esportano dati, le impostazioni dell'account di archiviazione controllano la crittografia dei dati esportati finali.
  • Disco del sistema operativo

MMK viene sempre usato per crittografare questi dischi per impostazione predefinita e cmk può essere aggiunto sopra per controllare l'accesso alla chiave di crittografia dei dati.

Nel livello Ottimizzato per Flash, anche le chiavi e i valori vengono archiviati parzialmente su disco usando l'archiviazione flash NVMe (Nonvolatile Memory Express). Tuttavia, questo disco non è uguale a quello usato per i dati persistenti. Al contrario, è temporaneo, ovvero i dati non vengono salvati in modo permanente dopo l'arresto, la deallocazione o il riavvio della cache. Solo MMK è supportato su questo disco perché questi dati sono temporanei.

Dati archiviati Disco rigido Opzioni di crittografia
File di persistenza Disco di persistenza MMK o CMK
File RDB in attesa di essere esportati Disco del sistema operativo e disco di persistenza MMK o CMK
Chiavi e valori (solo livello ottimizzato per Flash) Disco NVMe temporaneo MMK

Prerequisiti e limitazioni

Prerequisiti e limitazioni generali

  • Per connettersi a Azure Key Vault, usare solo l'identità gestita assegnata dall'utente. L'identità gestita assegnata dal sistema non è supportata.
  • La modifica tra MMK e CMK in un'istanza della cache esistente attiva un'operazione di manutenzione a esecuzione prolungata. Non usare questa operazione nell'ambiente di produzione perché causa un'interruzione del servizio.

Prerequisiti e limitazioni di Azure Key Vault

  • La risorsa di Azure Key Vault contenente la chiave gestita dal cliente deve trovarsi nella stessa area della risorsa della cache.
  • La protezione dalla rimozione definitiva e l'eliminazione temporanea devono essere abilitate nell'istanza di Azure Key Vault. La protezione dalla rimozione definitiva non è abilitata per impostazione predefinita.
  • Quando si usano regole del firewall nella Azure Key Vault, è necessario configurare l'istanza di Key Vault per consentire i servizi attendibili.
  • Sono supportate solo le chiavi RSA.
  • È necessario concedere all'identità gestita assegnata dall'utente le autorizzazioni Get, Unwrap Key e Wrap Key nei criteri di accesso Key Vault oppure le autorizzazioni equivalenti all'interno di Azure role based Controllo di accesso. Una definizione di ruolo integrata consigliata con i minimi privilegi necessari per questo scenario è denominata KeyVault Crypto Service Encryption User.

Come configurare la crittografia cmk in Redis gestito di Azure

Usare il portale per creare una nuova cache con CMK abilitata

  1. Accedi al portale di Azure e avvia la guida introduttiva Creare un'istanza di Azure Managed Redis.

  2. Nella pagina Avanzate, passare alla sezione denominata Crittografia chiavi gestite dal cliente a riposo e abilitare l'opzione Usa una chiave gestita dal cliente.

    Schermata della pagina Impostazioni avanzate con l'opzione di crittografia dei dati inattivi con chiave gestita dal cliente abilitata ed evidenziata in un riquadro rosso.

  3. Selezionare Aggiungi per assegnare un'identità gestita assegnata dall'utente alla risorsa. Questa identità gestita viene usata per connettersi all'istanza di Azure Key Vault che contiene la chiave gestita dal cliente.

    Schermata del riquadro di selezione dell'identità gestita assegnata dall'utente per la crittografia con chiave gestita dal cliente in Azure Managed Redis.

  4. Selezionare l'identità gestita assegnata dall'utente selezionata, quindi scegliere il metodo di immissione della chiave da usare.

  5. Se si seleziona il metodo Select Azure Key Vault and key input (Seleziona Azure Key Vault e input della chiave chiave), scegliere l'istanza di Key Vault che contiene la chiave gestita dal cliente. Questa istanza deve trovarsi nella stessa area della cache.

    Annotazioni

    Per istruzioni su come configurare un'istanza di Azure Key Vault, consultare la guida introduttiva di Azure Key Vault. È anche possibile selezionare il collegamento Crea un insieme di credenziali sotto l'opzione Key Vault per creare una nuova istanza di Key Vault. Tenere presente che sia la protezione di rimozione definitiva che l'eliminazione temporanea devono essere abilitate nell'istanza di Key Vault.

  6. Scegliere la chiave e la versione specifiche usando gli elenchi a discesa Chiave gestita dal cliente (RSA) e Versione .

    Screenshot dei campi identità e versione della chiave gestita dal cliente completati per la configurazione della crittografia del disco.

  7. Se si seleziona il metodo di input URI, immettere l'URI dell'identificatore di chiave per la chiave scelta da Azure Key Vault.

  8. Quando si immettono tutte le informazioni per la cache, selezionare Rivedi e crea.

Aggiungere la crittografia cmk a un'istanza di Redis gestita di Azure esistente

  1. Passare alla sezione Crittografia nel menu Risorsa dell'istanza della cache. Se CMK è già configurata, vengono visualizzate le informazioni sulla chiave.

  2. Se non è stato configurato CMK o se si desidera modificare le impostazioni di CMK, selezionare Modifica le impostazioni di crittografia. Schermata con l'opzione Crittografia selezionata nel menu Risorsa per un'istanza di cache Redis gestita di Azure.

  3. Selezionare Usa una chiave gestita dal cliente per visualizzare le opzioni di configurazione.

  4. Selezionare Aggiungi per assegnare un'identità gestita assegnata dall'utente alla risorsa. Questa identità gestita viene usata per connettersi all'istanza di Azure Key Vault che contiene la chiave gestita dal cliente.

  5. Selezionare l'identità gestita assegnata dall'utente scelto e quindi scegliere il metodo di input della chiave da usare.

  6. Se si seleziona il metodo Select Azure Key Vault and key input (Seleziona Azure Key Vault e input della chiave chiave), scegliere l'istanza di Key Vault che contiene la chiave gestita dal cliente. Questa istanza deve trovarsi nella stessa area della cache.

    Annotazioni

    Per istruzioni su come configurare un'istanza di Azure Key Vault, consultare la guida introduttiva di Azure Key Vault. Puoi anche selezionare il collegamento Crea un Key Vault sotto la selezione di Key Vault per creare una nuova istanza di Key Vault.

  7. Scegliere la chiave specifica usando l'elenco a discesa Chiave gestita dal cliente (RSA). Se sono disponibili più versioni della chiave tra cui scegliere, usare l'elenco a discesa Versione. Screenshot dei campi identità e chiave gestita dal cliente completati nella pagina Impostazioni di crittografia per una cache esistente.

  8. Se si seleziona il metodo di input URI, immettere l'URI dell'identificatore di chiave per la chiave scelta da Azure Key Vault.

  9. Seleziona Salva.

Rotazione delle chiavi per le chiavi gestite dal cliente

Pianificare la rotazione e la scadenza delle chiavi crittografiche come procedura consigliata per la sicurezza. Azure Redis gestito rileva e usa automaticamente la versione più recente della chiave configurata in Azure Key Vault.

Rileva e utilizza una nuova versione della chiave entro due ore da quando viene avviata la rotazione. Disabilitare o far scadere la chiave solo dopo questo intervallo di due ore. In caso contrario, si rischia che la cache sia offline a causa della perdita dell'accesso alla chiave. La rotazione delle chiavi riscriva la chiave di crittografia dei dati sottostante e non causa interruzioni.

Annotazioni

La garanzia di rotazione di due ore si applica solo a Azure Redis gestito. Altri servizi potrebbero avere garanzie diverse per la rotazione delle chiavi.

Per verificare che la rotazione delle chiavi sia stata completata, visualizzare la versione della chiave usata nel portale di Azure quando si visualizza Crittografia nel menu Risorsa.

Passaggi successivi

  • Last updated on