Configurar a criptografia de disco para instâncias do Cache do Azure para Redis usando chaves gerenciadas pelo cliente

Os dados em um servidor Redis são armazenados na memória por padrão. Esses dados não são criptografados. Você pode implementar sua própria criptografia nos dados antes de gravá-los no cache. Em alguns casos, os dados podem residir no disco, seja devido às operações do sistema operacional ou devido a ações deliberadas para persistir os dados usando exportar ou persistência de dados .

O Cache do Azure para Redis oferece por padrão PMKs (chave de criptografia gerenciada pela plataforma), também conhecidas como MMKs (chaves gerenciadas pela Microsoft), para criptografar dados em disco em todas as camadas. As camadas Enterprise e Enterprise Flash do Cache do Azure para Redis oferecem adicionalmente a capacidade de criptografar os discos de persistência de dados e do sistema operacional com uma CMK (chave gerenciada pelo cliente). As chaves gerenciadas pelo cliente podem ser usadas para encapsular as MMKs para controlar o acesso a essas chaves. Isso torna a CMK uma chave de criptografia de chave ou KEK. Para saber mais, confira gerenciamento de chaves no Azure.

Escopo da disponibilidade para criptografia de disco CMK

• Camadas Básicas, Padrão e Premium:

  • As MMK (chaves gerenciadas da Microsoft) são usadas para criptografia de disco na maioria dos tamanhos de cache, exceto os tamanhos Básico e Standard C0 e C1.
  • Não há suporte para CMK (chaves gerenciadas pelo cliente).

• Camadas Enterprise, Enterprise Flash:

  • Há suporte para MMK (chaves gerenciadas da Microsoft).
  • Há suporte para CMK (chaves gerenciadas pelo cliente).

Criptografia para a camada Enterprise

Na camada Enterprise, a criptografia de disco é usada para criptografar o disco de persistência, os arquivos temporários e o disco do sistema operacional:

• disco de persistência: mantém arquivos RDB ou AOF persistentes como parte da persistência de dados
• arquivos temporários usados na exportação: os dados temporários usados e exportados são criptografados. Quando você exporta dados, a criptografia dos dados finais exportados é controlada pelas configurações na conta de armazenamento.
• o disco do SO

A MMK é usada para criptografar esses discos por padrão, mas a CMK também pode ser usada.

Na camada Enterprise Flash, as chaves e os valores também são parcialmente armazenados no disco usando o armazenamento flash expresso de memória não volátil (NVMe). No entanto, esse disco não é o mesmo usado para dados persistentes. Em vez disso, é efêmero e os dados não são persistentes após o cache ser interrompido, desalocado ou reiniciado. O MMK só tem suporte nesse disco porque esses dados são transitórios e efêmeros.

Criptografia para camadas Básica, Standard e Premium

Nas camadas Básico, Standard e Premium, o disco do sistema operacional é criptografado por padrão usando MMK. Não há disco de persistência montado e, em vez disso, o Armazenamento do Microsoft Azure é usado em seu lugar. As SKUs C0 e C1 não usam criptografia de disco.

Pré-requisitos e limitações

Pré-requisitos e limitações gerais

• Criptografia de disco não está disponível nas camadas Básica e Standard para os SKUs C0 ou C1
• Somente a identidade gerenciada atribuída pelo usuário possui suporte para se conectar ao Azure Key Vault. Não há suporte para a identidade gerenciada atribuída pelo sistema.
• Alterar entre MMK e CMK em uma instância de cache existente dispara uma operação de manutenção de longa duração. Não recomendamos isso para uso em produção, pois ocorre uma interrupção do serviço.

Pré-requisitos e limitações do Azure Key Vault

• O recurso Azure Key Vault que contém a chave gerenciada pelo cliente deve estar na mesma região que o recurso de cache.
• A proteção contra limpeza e a exclusão reversível devem estar habilitadas na instância do Azure Key Vault. A proteção contra limpeza não está habilitada por padrão.
• Quando você usa regras de firewall no Azure Key Vault, a instância do Key Vault deve ser configurada para permitir serviços confiáveis.
• Apenas chaves RSA são suportadas
• A identidade gerenciada atribuída pelo usuário deve receber as permissões Obter, Desencapsular Chave e Encapsular Chave nas políticas de acesso do Key Vault ou as permissões equivalentes no Controle de Acesso Baseado em Funções do Azure. Uma definição de função interna recomendada com o mínimo de privilégios necessários para esse cenário é chamada de Usuário de Criptografia do Serviço de Criptografia do KeyVault.

Como configurar a criptografia CMK em caches corporativos

Usar o portal para criar um novo cache com a CMK ativada

1. Crie um cache Redis Enterprise.

2. Na página Avançado, vá para a seção intitulada Criptografia de chave gerenciada pelo cliente inativa e habilite a opção Usar uma chave gerenciada pelo cliente .

   

3. Selecione Adicionar para atribuir uma identidade gerenciada atribuída pelo usuário para o recurso. Essa identidade gerenciada é usada para conectar à instância do Azure Key Vault que contém a chave gerenciada pelo cliente.

   

4. Selecione a identidade gerenciada atribuída pelo usuário escolhido e escolha o método de entrada de chave a ser utilizado.

5. Se estiver usando o método de entrada 'Selecionar Azure Key Vault e chave', escolha a instância do Key Vault que contém a chave gerenciada pelo cliente. Essa instância deve estar na mesma região do cache.

   Observação

   Para obter instruções sobre como configurar uma instância do Azure Key Vault, confira o Guia de início rápido do Azure Key Vault. Você também pode selecionar o link Criar um cofre de chaves abaixo da seleção Key Vault para criar uma nova instância do Key Vault. Lembre-se de que a proteção contra limpeza e a exclusão temporária devem estar habilitadas em sua instância do Key Vault.

6. Escolha a chave e a versão específicas usando os menus suspensos Chave gerenciada pelo cliente (RSA) e Versão.

   

7. Se estiver usando o método de entrada URI, insira o URI do Identificador de Chave da chave escolhida no Azure Key Vault.

8. Quando você inserir todas as informações do cache, selecione Revisar e criar.

Adicionar a criptografia CMK a um cache Enterprise existente

1. Vá para Criptografia no menu Recursos da instância de cache. Se a CMK já estiver configurada, você verá as informações da chave.

2. Se você ainda não configurou o CMK ou deseja alterar as configurações do CMK, selecione Alterar configurações de criptografia.

3. Selecione Usar uma chave gerenciada pelo cliente para ver as opções de configuração.

4. Selecione Adicionar para atribuir uma identidade gerenciada atribuída pelo usuário para o recurso. Essa identidade gerenciada é usada para conectar à instância do Azure Key Vault que contém a chave gerenciada pelo cliente.

5. Selecione a identidade gerenciada atribuída pelo usuário escolhido e escolha qual método de entrada de chave usar.

6. Se estiver usando o método de entrada 'Selecionar Azure Key Vault e chave', escolha a instância do Key Vault que contém a chave gerenciada pelo cliente. Essa instância deve estar na mesma região do cache.

   Observação

   Para obter instruções sobre como configurar uma instância do Azure Key Vault, confira o Guia de início rápido do Azure Key Vault. Você também pode selecionar o link Criar um cofre de chaves abaixo da seleção Key Vault para criar uma nova instância do Key Vault.

7. Escolha a chave específica usando a lista suspensa Chave gerenciada pelo cliente (RSA). Se houver várias versões da chave para escolher, use a lista suspensa Versão.

8. Se estiver usando o método de entrada URI, insira o URI do Identificador de Chave da chave escolhida no Azure Key Vault.

9. Selecione Salvar

Próximas etapas

Saiba mais sobre os recursos do Cache do Azure para Redis:

• Persistência de dados
• Importar/exportar
• Importar/exportar