Настройка шифрования дисков для экземпляров Azure Cache for Redis с использованием управляемых клиентом ключей.

  • Применяется к: ✅ Azure Cache for Redis

Внимание

Кэш Azure для Redis объявил о графике вывода из эксплуатации для всех SKU. Мы рекомендуем как можно скорее перенести существующие экземпляры Azure Cache для Redis на управляемые Azure Managed Redis.

Руководство по миграции:

Дополнительные сведения о выходе на пенсию:

Данные на сервере Redis хранятся в памяти по умолчанию. Эти данные не шифруются. Вы можете реализовать собственное шифрование данных перед записью в кэш. В некоторых случаях данные могут находиться на диске либо из-за операций операционной системы, либо из-за преднамеренных действий для сохранения данных с помощью экспорта или сохраняемости данных.

Кэш Azure для Redis предлагает ключи, управляемые платформой (PMKs), также известные как управляемые корпорацией Майкрософт ключи (MMKs), по умолчанию для шифрования данных на диске на всех уровнях. Уровни корпоративной и корпоративной флэш-памяти Кэш Azure для Redis также предоставляют возможность шифрования дисков сохраняемости ОС и данных с помощью управляемого клиентом ключа (CMK). Управляемые клиентом ключи могут использоваться для обертывания MMK, чтобы управлять доступом к этим ключам. Это делает CMK ключом шифрования ключей или KEK. Дополнительные сведения см. в разделе "Управление ключами" в Azure.

Область доступности для шифрования дисков CMK

  • Базовые, стандартные, премиум-уровни:

    • Управляемые ключи Майкрософт (MMK) используются для шифрования дисков в большинстве размеров кэша, кроме базовых и стандартных размеров C0 и C1.
    • Управляемые клиентом ключи (CMK) не поддерживаются.

  • Корпоративные, корпоративные уровни Флэш-памяти:

    • Поддерживаются управляемые майкрософт ключи (MMK).
    • Поддерживаются управляемые клиентом ключи (CMK).

Предупреждение

По умолчанию все уровни Кэш Azure для Redis используют управляемые корпорацией Майкрософт ключи для шифрования дисков, подключенных к экземплярам кэша. Однако на уровнях "Базовый" и "Стандартный" номера SKU C0 и C1 не поддерживают шифрование дисков.

Внимание

На уровне "Премиум" сохраняемость данных передает данные непосредственно в служба хранилища Azure, поэтому шифрование дисков менее важно. служба хранилища Azure предлагает различные методы шифрования, которые следует использовать вместо этого.

Шифрование для уровня Enterprise

На уровне Enterprise шифрование дисков используется для шифрования диска сохраняемости, временных файлов и диска ОС:

  • диск сохраняемости: хранит сохраненные файлы RDB или AOF в рамках сохраняемости данных
  • временные файлы, используемые в экспорте: зашифрованы временные данные, используемые экспортом. При экспорте данных шифрование окончательных экспортированных данных контролируется параметрами в учетной записи хранения.
  • Диск ОС

MMK используется для шифрования этих дисков по умолчанию, но можно также использовать CMK.

На уровне Enterprise Flash ключи и значения также частично хранятся на диске с помощью хранилища флэш-памяти (NVMe). Однако этот диск не совпадает с тем, который используется для сохраненных данных. Вместо этого оно эфемерное, и данные не сохраняются после остановки, освобождения ресурсов или перезагрузки кэша. MMK поддерживается только на этом диске, так как эти данные являются временными и эфемерными.

Сохраненные данные Диск Параметры шифрования
Файлы сохраняемости Диск сохраняемости MMK или CMK
Файлы RDB, ожидающие экспорта Диск ОС и диск сохраняемости MMK или CMK
Ключи и значения (только для уровня Enterprise Flash) Временный диск NVMe MMK

Шифрование для уровней "Базовый", "Стандартный" и "Премиум"

На уровнях "Базовый", "Стандартный" и "Премиум" диск ОС шифруется по умолчанию с помощью MMK. Диск постоянного хранилища не подключен, используется служба Azure Storage. Номера SKU C0 и C1 не используют шифрование дисков.

Предварительные требования и ограничения

Общие предварительные требования и ограничения

  • Шифрование дисков недоступно на уровнях "Базовый" и "Стандартный" для номеров SKU C0 или C1
  • Для подключения к Azure Key Vault поддерживается только назначенное пользователем управляемое удостоверение. Назначаемое системой управляемое удостоверение не поддерживается.
  • Переключение между MMK и CMK в существующем экземпляре кэша вызывает длительное техническое обслуживание. Мы не рекомендуем это для промышленного использования, так как происходит перебой в работе службы.

Предварительные требования и ограничения Azure Key Vault

  • Ресурс Azure Key Vault, содержащий управляемый клиентом ключ, должен находиться в том же регионе, что и ресурс кэша.
  • Прокрутка и мягкое удаление должны быть включены в экземпляре службы Azure Key Vault. Защита от очистки не включена по умолчанию.
  • При использовании правил брандмауэра в Azure Key Vault экземпляр Key Vault должен быть настроен для разрешения доверенных служб.
  • Поддерживаются только ключи RSA
  • Управляемому удостоверению, назначаемому пользователем, должны быть предоставлены разрешения Get, Unwrap Key и Wrap Key в политиках доступа Key Vault или эквивалентные разрешения в контроле доступа на основе ролей Azure. Рекомендуемое встроенное определение роли с минимальными привилегиями, необходимыми для этого сценария, называется Пользователь службы шифрования KeyVault.

Настройка шифрования CMK в кэшах Enterprise

Создание кэша с поддержкой CMK с помощью портала

  1. Создайте кэш Redis Enterprise.

  2. На странице "Дополнительно" перейдите в раздел с заголовком "Шифрование ключей, управляемых клиентом" и включите параметр "Использовать управляемый клиентом ключ".

    Снимок экрана расширенных настроек с отмеченной опцией шифрования ключей, управляемых клиентом, в красной рамке.

  3. Выберите Добавить, чтобы назначить управляемое удостоверение, назначенное пользователем ресурсу. Это управляемое удостоверение используется для подключения к экземпляру Azure Key Vault, в котором хранится ключ, управляемый клиентом.

    Снимок экрана, показывающий управляемое удостоверение пользователя в рабочей панели.

  4. Выберите выбранное управляемое удостоверение, назначаемое пользователем, и выберите метод ввода ключа для использования.

  5. Если вы используете метод выбора Azure Key Vault и метода ввода ключей , выберите экземпляр Key Vault, содержащий управляемый клиентом ключ. Этот экземпляр должен находиться в том же регионе, что и кэш.

    Примечание.

    Инструкции по настройке экземпляра Azure Key Vault см. в кратком руководстве Azure Key Vault. Вы также можете выбрать ссылку "Создать хранилище ключей" под выбором Key Vault, чтобы создать новый экземпляр Key Vault. Помните, что защита от очистки и мягкого удаления должны быть включены в экземпляре Key Vault.

  6. Выберите конкретный ключ и версию, используя выпадающие списки ключей, управляемых клиентом (RSA) и версий.

    Снимок экрана: заполнены поля выбора идентификатора и ключа.

  7. При использовании метода ввода URI введите URI идентификатора ключа для выбранного ключа из Azure Key Vault.

  8. При вводе всех сведений для кэша нажмите кнопку "Проверить и создать".

Добавление шифрования CMK в существующий корпоративный кэш

  1. Перейдите в раздел "Шифрование" меню ресурсов вашего экземпляра кэша. Если CMK уже настроен, вы увидите ключевые сведения.

  2. Если вы не настроили CMK или хотите изменить параметры CMK, выберите "Изменить параметры шифрования". Снимок экрана: шифрование, выбранное в меню

  3. Выберите " Использовать управляемый клиентом ключ" , чтобы просмотреть параметры конфигурации.

  4. Выберите Добавить, чтобы назначить ресурсу управляемое удостоверение, назначенное пользователем. Это управляемое удостоверение используется для подключения к экземпляру Azure Key Vault , в котором хранится управляемый клиентом ключ.

  5. Выберите выбранное управляемое удостоверение, назначаемое пользователем, и выберите используемый метод ввода ключа.

  6. Если вы используете метод выбора Azure Key Vault и метода ввода ключей , выберите экземпляр Key Vault, содержащий управляемый клиентом ключ. Этот экземпляр должен находиться в том же регионе, что и кэш.

    Примечание.

    Инструкции по настройке экземпляра Azure Key Vault см. в кратком руководстве по Azure Key Vault. Вы также можете выбрать ссылку "Создать хранилище ключей" под выбором Key Vault, чтобы создать новый экземпляр Key Vault.

  7. Выберите конкретный ключ из выпадающего списка «Ключ, управляемый клиентом (RSA)». Если есть несколько версий ключа на выбор, используйте раскрывающийся список "Версия". Снимок экрана, показывающий заполненные поля выбора для идентификации и ключа для шифрования.

  8. При использовании метода ввода URI введите URI идентификатора ключа для выбранного ключа из Azure Key Vault.

  9. Выберите Сохранить

Следующие шаги

Дополнительные сведения о функциях Кэш Azure для Redis:

  • Last updated on