Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Kubernetes Service (AKS) stocke des données sensibles telles que les secrets Kubernetes dans etcd, le magasin de clés-valeur distribué utilisé par Kubernetes. Pour des exigences de sécurité et de conformité améliorées, AKS prend en charge le chiffrement des secrets Kubernetes au repos à l’aide du fournisseur KMS (Kubernetes Key Management Service) intégré à Azure Key Vault.
Cet article explique les concepts clés, les modèles de chiffrement et les options de gestion des clés disponibles pour protéger les secrets Kubernetes au repos dans AKS.
Comprendre le chiffrement des données au repos
Le chiffrement des données au repos protège vos données lorsqu’elles sont stockées sur le disque. Sans chiffrement au repos, un attaquant qui accède au stockage sous-jacent peut potentiellement lire des données sensibles telles que des secrets Kubernetes.
AKS fournit un chiffrement pour les secrets Kubernetes stockés dans etcd :
| Couche | Descriptif |
|---|---|
| Chiffrement de plateforme Azure | Stockage Azure chiffre automatiquement toutes les données au repos à l’aide du chiffrement AES 256 bits. Ce chiffrement est toujours activé et transparent pour les utilisateurs. |
| Chiffrement du fournisseur KMS | Couche facultative qui chiffre les secrets Kubernetes avant qu’ils ne soient écrits dans etcd à l’aide de clés stockées dans Azure Key Vault. |
Pour plus d’informations sur les fonctionnalités de chiffrement au repos d’Azure, consultez Azure Data Encryption au repos et les modèles de chiffrement Azure.
Fournisseur KMS pour le chiffrement des données
Le fournisseur KMS Kubernetes est un mécanisme qui permet le chiffrement des secrets Kubernetes au repos à l’aide d’un système de gestion de clés externe. AKS s’intègre à Azure Key Vault pour fournir cette fonctionnalité, ce qui vous permet de contrôler les clés de chiffrement tout en conservant les avantages de sécurité d’un service Kubernetes managé.
Fonctionnement du chiffrement KMS
Lorsque vous activez KMS pour un cluster AKS :
- Création de secret : lorsqu’un secret est créé, le serveur d’API Kubernetes envoie les données secrètes au plug-in du fournisseur KMS.
- Chiffrement : le plug-in KMS chiffre les données secrètes à l’aide d’une clé de chiffrement de données (DEK), qui est elle-même chiffrée à l’aide d’une clé de chiffrement de clé (KEK) stockée dans Azure Key Vault.
- Stockage : le secret chiffré est stocké dans etcd.
- Récupération des secrets : lorsqu’un secret est lu, le plug-in KMS déchiffre la clé DEK à l’aide de la clé KEK à partir d’Azure Key Vault, puis utilise la clé DEK pour déchiffrer les données secrètes.
Cette approche de chiffrement d’enveloppe offre des avantages en matière de sécurité et de performances. La clé DEK gère les opérations de chiffrement fréquentes localement tandis que la clé KEK dans Azure Key Vault assure la sécurité d’un système de gestion de clés soutenu par le matériel.
Options de gestion des clés
AKS offre deux options de gestion des clés pour le chiffrement KMS :
Clés gérées par la plateforme (PMK)
Avec les clés gérées par la plateforme, AKS gère automatiquement les clés de chiffrement pour vous :
- AKS crée et gère azure Key Vault et les clés de chiffrement.
- La rotation des clés est gérée automatiquement par la plateforme.
- Aucune configuration supplémentaire ni configuration du coffre de clés n’est requise.
Quand utiliser des clés gérées par la plateforme :
- Vous souhaitez la configuration la plus simple avec une configuration minimale.
- Vous n’avez pas de exigences réglementaires spécifiques qui imposent des clés gérées par le client.
- Vous souhaitez une rotation automatique des clés sans intervention manuelle.
Clés gérées par le client (CMK)
Avec les clés gérées par le client, vous avez un contrôle total sur les clés de chiffrement :
- Vous créez et gérez vos propres clés Azure Key Vault et de chiffrement.
- Vous contrôlez les planifications et stratégies de rotation des clés.
Quand utiliser des clés gérées par le client :
- Vous avez des exigences réglementaires ou de conformité qui imposent des clés gérées par le client.
- Vous devez contrôler le cycle de vie des clés, y compris les planifications de rotation et les versions de clés.
- Vous avez besoin des journaux d’audit pour toutes les opérations clés.
Options d'accès réseau du coffre à clés
Lorsque vous utilisez des clés gérées par le client, vous pouvez configurer l’accès réseau pour votre coffre de clés Azure :
| Accès réseau | Descriptif | Cas d’utilisation |
|---|---|---|
| Public | Le coffre de clés est accessible via l'internet public avec authentification. | Environnements de développement, configuration plus simple |
| Privé | Key Vault dispose d’un accès réseau public désactivé. AKS accède au Key Vault via l'exception de pare-feu des services approuvés. | Environnements de production, sécurité renforcée |
Comparaison des options de clé de chiffrement
| Caractéristique | Clés gérées par la plateforme | Clés gérées par le client (public) | Clés gérées par le client (privé) |
|---|---|---|---|
| Propriété de la clé | Microsoft gère | Le client gère | Le client gère |
| Rotation des clés | Automatique | Configurable par l’utilisateur | Configurable par l’utilisateur |
| Création du coffre de clés | Automatique | Le client crée | Le client crée |
| Isolement réseau | N/A | Non | Oui |
Spécifications
- Le nouveau chiffrement KMS avec des clés gérées par la plateforme ou des clés gérées par le client avec une expérience de rotation automatique des clés nécessite Kubernetes version 1.33 ou ultérieure.
- Le nouveau chiffrement KMS avec des clés gérées par la plateforme ou des clés gérées par le client avec une expérience de rotation automatique des clés est pris en charge uniquement sur les clusters AKS où l’identité managée est utilisée pour l’identité du cluster.
Limites
- Aucune rétrogradation : après avoir activé la nouvelle expérience de chiffrement KMS, vous ne pouvez pas désactiver la fonctionnalité.
- Suppression de clé : la suppression de la clé de chiffrement ou du coffre de clés rend vos secrets irrécupérables.
- Accès au point de terminaison privé : l’accès au coffre de clés à l’aide d’une liaison/d’un point de terminaison privé n’est pas encore pris en charge. Pour les coffres de clés privés, utilisez l’exception de pare-feu des services approuvés.