Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Kubernetes Service (AKS) przechowuje poufne dane, takie jak sekrety Kubernetes, w etcd, rozproszonym magazynie par klucz-wartość, który jest używany przez Kubernetes. Dla lepszego spełnienia wymagań dotyczących zabezpieczeń i zgodności, usługa AKS obsługuje szyfrowanie tajemnic Kubernetes w stanie spoczynku za pomocą dostawcy usługi Kubernetes Key Management Service (KMS) zintegrowanego z usługą Azure Key Vault.
W tym artykule wyjaśniono kluczowe pojęcia, modele szyfrowania i opcje zarządzania kluczami dostępne w celu ochrony tajemnic Kubernetes magazynowanych w AKS.
Zrozumienie szyfrowania danych w spoczynku
Szyfrowanie danych w spoczynku chroni Twoje dane, gdy są zapisane na dysku. Bez szyfrowania danych magazynowanych atakujący, który uzyska dostęp do bazowego magazynu, może potencjalnie odczytywać poufne dane, takie jak sekrety platformy Kubernetes.
Usługa AKS zapewnia szyfrowanie tajemnic Kubernetes przechowywanych w etcd.
| Warstwa | Description |
|---|---|
| Szyfrowanie platformy Azure | Usługa Azure Storage automatycznie szyfruje wszystkie dane magazynowane przy użyciu 256-bitowego szyfrowania AES. To szyfrowanie jest zawsze włączone i niewidoczne dla użytkowników. |
| Szyfrowanie dostawcy usługi KMS | Opcjonalna warstwa, która szyfruje sekrety Kubernetes przed zapisaniem ich w etcd przy użyciu kluczy przechowywanych w Azure Key Vault. |
Aby uzyskać więcej informacji na temat możliwości szyfrowania danych w spoczynku przez platformę Azure, zobacz Szyfrowanie danych w spoczynku w Azure i Modele szyfrowania platformy Azure.
Dostawca usługi KMS na potrzeby szyfrowania danych
Dostawca KMS Kubernetes to mechanizm, który umożliwia szyfrowanie sekretów Kubernetes w stanie spoczynku przy użyciu zewnętrznego systemu zarządzania kluczami. Usługa AKS integruje się z usługą Azure Key Vault, aby zapewnić tę funkcję, zapewniając kontrolę nad kluczami szyfrowania przy zachowaniu korzyści zabezpieczeń zarządzanej usługi Kubernetes.
Jak działa szyfrowanie KMS
Po włączeniu usługi KMS dla klastra usługi AKS:
- Tworzenie wpisu tajnego: po utworzeniu wpisu tajnego serwer interfejsu API Kubernetes wysyła dane tajne do wtyczki dostawcy usługi KMS.
- Szyfrowanie: wtyczka KMS szyfruje dane tajne przy użyciu klucza szyfrowania danych (DEK), który sam jest szyfrowany przy użyciu klucza szyfrowania kluczy (KEK) przechowywanego w usłudze Azure Key Vault.
- Przechowywanie: Zaszyfrowany sekret jest przechowywany w etcd.
- Pobieranie tajemnic: Gdy tajemnica jest odczytywana, wtyczka KMS odszyfrowuje DEK za pomocą KEK z usługi Azure Key Vault, a następnie używa DEK do odszyfrowania danych tajnych.
To podejście do szyfrowania kopert zapewnia korzyści zarówno zabezpieczeń, jak i wydajności. Klucz szyfrowania danych (DEK) obsługuje częste operacje szyfrowania lokalnie, podczas gdy Klucz szyfrujący (KEK) w usłudze Azure Key Vault zapewnia bezpieczeństwo systemu zarządzania kluczami opartego na sprzęcie.
Opcje zarządzania kluczami
Usługa AKS oferuje dwie opcje zarządzania kluczami na potrzeby szyfrowania KMS:
Klucze zarządzane przez platformę (PMK)
AKS automatycznie zarządza kluczami szyfrowania dzięki kluczom zarządzanym przez platformę.
- Usługa AKS tworzy usługę Azure Key Vault i klucze szyfrowania oraz zarządza nimi.
- Rotacja kluczy jest obsługiwana automatycznie przez platformę.
- Nie jest wymagana żadna dodatkowa konfiguracja ani konfiguracja magazynu kluczy.
Kiedy należy używać kluczy zarządzanych przez platformę:
- Potrzebujesz najprostszej konfiguracji z minimalną konfiguracją.
- Nie masz określonych wymagań prawnych, które nakazują klucze zarządzane przez klienta.
- Chcesz automatycznie obracać klucz bez ręcznej interwencji.
Klucze zarządzane przez klienta (CMK)
W przypadku kluczy zarządzanych przez klienta masz pełną kontrolę nad kluczami szyfrowania:
- Tworzysz własne usługi Azure Key Vault i klucze szyfrowania i zarządzasz nimi.
- Kontrolujesz harmonogramy i zasady rotacji kluczy.
Kiedy należy używać kluczy zarządzanych przez klienta:
- Masz wymagania prawne lub wymagania dotyczące zgodności, które nakazują klucze zarządzane przez klienta.
- Musisz kontrolować cykl życia klucza, w tym harmonogramy rotacji i wersje kluczy.
- Dzienniki inspekcji są wymagane dla wszystkich operacji klucza.
Opcje dostępu do sieci usługi Azure Key Vault
W przypadku korzystania z kluczy zarządzanych przez klienta można skonfigurować dostęp sieciowy dla usługi Azure Key Vault:
| Dostęp do sieci | Description | Przypadek użycia |
|---|---|---|
| Public | Magazyn kluczy jest dostępny za pośrednictwem ogólnodostępnego Internetu z uwierzytelnianiem. | Środowiska programistyczne, prostsza konfiguracja |
| Private | Magazyn kluczy ma wyłączony dostęp do sieci publicznej. Usługa AKS uzyskuje dostęp do magazynu kluczy za pośrednictwem reguły zapory dla zaufanych usług. | Środowiska produkcyjne, zwiększone zabezpieczenia |
Porównywanie opcji klucza szyfrowania
| Funkcja | Klucze zarządzane przez platformę | Klucze zarządzane przez klienta (publiczne) | Klucze zarządzane przez klienta (prywatne) |
|---|---|---|---|
| Własność klucza | Firma Microsoft zarządza | Klient zarządza | Klient zarządza |
| Rotacja kluczy | Automatyczne | Konfigurowalny przez użytkownika | Konfigurowalny przez użytkownika |
| Tworzenie magazynu kluczy | Automatyczne | Klient tworzy | Klient tworzy |
| Izolacja sieci | N/A | Nie. | Tak |
Requirements
- Nowe szyfrowanie usługi KMS z kluczami zarządzanymi przez platformę lub kluczami zarządzanymi przez klienta z automatycznym obracaniem kluczy wymaga platformy Kubernetes w wersji 1.33 lub nowszej.
- Nowe szyfrowanie usługi KMS z kluczami zarządzanymi przez platformę lub kluczami zarządzanymi przez klienta z automatyczną rotacją kluczy jest obsługiwane tylko na klastrach usługi AKS, gdzie tożsamość zarządzana jest używana do tożsamości klastra.
Ograniczenia
- Brak obniżenia poziomu: po włączeniu nowego środowiska szyfrowania KMS nie można wyłączyć tej funkcji.
- Kasowanie klucza: Usunięcie klucza szyfrowania lub magazynu kluczy powoduje, że tajne informacje stają się nie do odzyskania.
- Dostęp do prywatnego punktu końcowego: dostęp do magazynu kluczy przy użyciu łącza prywatnego/punktu końcowego nie jest jeszcze obsługiwany. W przypadku magazynów kluczy prywatnych użyj wyjątku zapory dla zaufanych usług.