Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Kubernetes Service (AKS) almacena datos confidenciales, como secretos de Kubernetes en etcd, el almacén de clave-valor distribuido usado por Kubernetes. Para mejorar los requisitos de seguridad y cumplimiento, AKS admite el cifrado de secretos de Kubernetes en descanso mediante el proveedor de servicio de administración de claves de Kubernetes (KMS) integrado con Azure Key Vault.
En este artículo se explican los conceptos clave, los modelos de cifrado y las opciones de administración de claves disponibles para proteger los secretos de Kubernetes en reposo en AKS.
Comprendiendo el cifrado de datos en reposo
El cifrado de datos en reposo protege los datos cuando se almacenan en el disco. Sin cifrado en reposo, un atacante que obtiene acceso al almacenamiento subyacente podría leer datos confidenciales como secretos de Kubernetes.
AKS proporciona cifrado para secretos de Kubernetes almacenados en etcd:
| Nivel | Description |
|---|---|
| Cifrado de la plataforma Azure | Azure Storage cifra automáticamente todos los datos en reposo mediante el cifrado AES de 256 bits. Este cifrado siempre está habilitado y transparente para los usuarios. |
| Cifrado del proveedor de KMS | Una capa opcional que cifra los secretos de Kubernetes antes de escribirlos en etcd mediante claves almacenadas en Azure Key Vault. |
Para más información sobre las funcionalidades de cifrado en reposo de Azure, consulte Cifrado de datos de Azure en reposo y modelos de cifrado de Azure.
Proveedor de KMS para el cifrado de datos
El proveedor de KMS de Kubernetes es un mecanismo que permite el cifrado de secretos de Kubernetes en reposo mediante un sistema de administración de claves externa. AKS se integra con Azure Key Vault para proporcionar esta funcionalidad, lo que proporciona control sobre las claves de cifrado y mantiene las ventajas de seguridad de un servicio de Kubernetes administrado.
Funcionamiento del cifrado de KMS
Al habilitar KMS para un clúster de AKS:
- Creación de secretos: cuando se crea un secreto, el servidor de API de Kubernetes envía los datos secretos al complemento del proveedor de KMS.
- Cifrado: el complemento KMS cifra los datos secretos mediante una clave de cifrado de datos (DEK), que se cifra mediante una clave de cifrado de claves (KEK) almacenada en Azure Key Vault.
- Almacenamiento: el secreto cifrado se almacena en etcd.
- Recuperación de secretos: cuando se lee un secreto, el complemento KMS descifra la DEK mediante la KEK de Azure Key Vault y, a continuación, usa la DEK para descifrar los datos secretos.
Este enfoque de cifrado de sobre proporciona ventajas de seguridad y rendimiento. La DEK controla las operaciones de cifrado frecuentes localmente mientras que KEK en Azure Key Vault proporciona la seguridad de un sistema de administración de claves respaldado por hardware.
Opciones de administración de claves
AKS ofrece dos opciones de administración de claves para el cifrado de KMS:
Claves administradas por la plataforma (PMK)
Con claves administradas por la plataforma, AKS gestiona automáticamente las claves de cifrado.
- AKS crea y administra las claves de cifrado y Azure Key Vault.
- La rotación de claves es gestionada automáticamente por la plataforma.
- No se requiere ninguna configuración adicional ni configuración del almacén de claves.
Cuándo usar claves administradas por la plataforma:
- Desea la instalación más sencilla con una configuración mínima.
- No tiene requisitos normativos específicos que exijan claves administradas por el cliente.
- Desea la rotación automática de claves sin intervención manual.
Claves administradas por el cliente (CMK)
Con las claves administradas por el cliente, tiene control total sobre las claves de cifrado:
- Puede crear y administrar sus propias claves de cifrado y Azure Key Vault.
- Usted controla los programas y políticas de rotación de claves.
Cuándo usar claves administradas por el cliente:
- Tiene requisitos normativos o de cumplimiento que exigen claves administradas por el cliente.
- Debe controlar el ciclo de vida de las claves, incluidos los calendarios de rotación y las versiones de las claves.
- Necesita registros de auditoría para todas las operaciones clave.
Opciones de acceso a la red de Key Vault
Al usar claves administradas por el cliente, puede configurar el acceso de red para Azure Key Vault:
| Acceso de red | Description | Caso de uso |
|---|---|---|
| Public | La bóveda de claves es accesible a través de la Internet pública con autenticación. | Entornos de desarrollo, configuración más sencilla |
| Privado | Key Vault tiene deshabilitado el acceso a la red pública. AKS accede al Key Vault a través de la texcepción de firewall de servicios confiables. | Entornos de producción, seguridad mejorada |
Comparación de las opciones de clave de cifrado
| Característica | Claves administradas por la plataforma | Claves administradas por el cliente (pública) | Claves administradas por el cliente (privada) |
|---|---|---|---|
| Propiedad de la clave | Microsoft administra | El cliente gestiona | Gestión por el cliente |
| Rotación de claves | Automático | Configurable por el usuario | Configurable por el usuario |
| Creación del almacén de claves | Automático | El cliente crea | El cliente crea |
| Aislamiento de red | N/A | No | Sí |
Requisitos
- El nuevo cifrado de KMS con claves administradas por la plataforma o claves administradas por el cliente con experiencia de rotación automática de claves requiere kubernetes versión 1.33 o posterior.
- El nuevo cifrado de KMS con claves administradas por la plataforma o claves administradas por el cliente con experiencia de rotación automática de claves solo se admite en clústeres de AKS donde se usa la identidad administrada para la identidad del clúster.
Limitaciones
- Sin degradación: después de habilitar la nueva experiencia de cifrado de KMS, no se puede deshabilitar la característica.
- Eliminación de claves: la eliminación de la clave de cifrado o el almacén de claves hace que los secretos sean irrecuperables.
- Acceso al punto de conexión privado: todavía no se admite el acceso al almacén de claves mediante vínculo privado o punto de conexión . Para Key Vault privados, use la excepción de firewall de servicios confiables.