Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O AKS (Serviço de Kubernetes do Azure) armazena dados confidenciais, como segredos do Kubernetes no etcd, o repositório de chave-valor distribuído usado pelo Kubernetes. Para requisitos aprimorados de segurança e conformidade, o AKS dá suporte à criptografia de segredos do Kubernetes em repouso usando o provedor KMS (Serviço de Gerenciamento de Chaves do Kubernetes) integrado ao Azure Key Vault.
Este artigo explica os principais conceitos, modelos de criptografia e opções de gerenciamento de chaves disponíveis para proteger segredos do Kubernetes em repouso no AKS.
Noções básicas sobre criptografia de dados em repouso
A criptografia de dados em repouso protege seus dados quando eles são armazenados em disco. Sem criptografia em repouso, um invasor que obtém acesso ao armazenamento subjacente poderia potencialmente ler dados confidenciais, como segredos do Kubernetes.
O AKS fornece criptografia para segredos do Kubernetes armazenados no etcd:
| Camada | Description |
|---|---|
| Criptografia da plataforma do Azure | O Armazenamento do Azure criptografa automaticamente todos os dados em repouso usando a criptografia AES de 256 bits. Essa criptografia é sempre habilitada e transparente para os usuários. |
| Criptografia do provedor KMS | Uma camada opcional que criptografa os segredos do Kubernetes antes de serem gravados em etc. usando chaves armazenadas no Azure Key Vault. |
Para obter mais informações sobre os recursos de criptografia em repouso do Azure, consulte a criptografia de dados do Azure em repouso e os modelos de criptografia do Azure.
Provedor KMS para criptografia de dados
O provedor KMS do Kubernetes é um mecanismo que permite a criptografia de segredos do Kubernetes em repouso usando um sistema de gerenciamento de chaves externas. O AKS integra-se ao Azure Key Vault para fornecer essa funcionalidade, fornecendo controle sobre chaves de criptografia, mantendo os benefícios de segurança de um serviço gerenciado do Kubernetes.
Como funciona a criptografia KMS
Quando você habilita o KMS para um cluster do AKS:
- Criação de segredo: quando um segredo é criado, o servidor de API do Kubernetes envia os dados secretos para o plug-in do provedor KMS.
- Criptografia: o plug-in KMS criptografa os dados secretos usando uma DEK (Chave de Criptografia de Dados), que é criptografada usando uma KEK (Chave de Criptografia de Chave) armazenada no Azure Key Vault.
- Armazenamento: o segredo criptografado é armazenado em etc.
- Recuperação secreta: quando um segredo é lido, o plug-in KMS descriptografa o DEK usando o KEK do Azure Key Vault e, em seguida, usa o DEK para descriptografar os dados secretos.
Essa abordagem de criptografia de envelope fornece benefícios de segurança e desempenho. O DEK lida com operações de criptografia frequentes localmente, enquanto o KEK no Azure Key Vault fornece a segurança de um sistema de gerenciamento de chaves com suporte de hardware.
Opções de gerenciamento de chaves
O AKS oferece duas opções de gerenciamento de chaves para criptografia KMS:
PMK (chaves gerenciadas pela plataforma)
Com chaves gerenciadas pela plataforma, o AKS gerencia automaticamente as chaves de criptografia para você:
- O AKS cria e gerencia o Azure Key Vault e as chaves de criptografia.
- A rotação de chaves é tratada automaticamente pela plataforma.
- Nenhuma configuração adicional ou configuração do cofre de chaves é necessária.
Quando usar chaves gerenciadas pela plataforma:
- Você deseja a configuração mais simples com configuração mínima.
- Você não tem requisitos regulatórios específicos que exigem chaves gerenciadas pelo cliente.
- Você deseja rotação automática de chaves sem intervenção manual.
Chaves gerenciadas pelo cliente (CMK)
Com chaves gerenciadas pelo cliente, você tem controle total sobre as chaves de criptografia:
- Você cria e gerencia seu próprio Azure Key Vault e chaves de criptografia.
- Você controla as políticas e agendas de rotação de chaves.
Quando usar chaves gerenciadas pelo cliente:
- Você tem requisitos regulatórios ou de conformidade que exigem chaves gerenciadas pelo cliente.
- Você precisa controlar o ciclo de vida da chave, incluindo programações de rotação e versões de chave.
- Você precisa de logs de auditoria para todas as operações de chave.
Opções de acesso à rede do cofre de chaves
Ao usar chaves gerenciadas pelo cliente, você pode configurar o acesso à rede para o Azure Key Vault:
| Acesso de rede | Description | Caso de uso |
|---|---|---|
| Public | O cofre de chaves é acessível pela Internet pública com autenticação. | Ambientes de desenvolvimento, configuração mais simples |
| Privado | O Key Vault tem acesso à rede pública desabilitado. O AKS acessa o cofre de chaves privado usando a exceção de firewall de serviços confiáveis. | Ambientes de produção, segurança aprimorada |
Comparando opções de chave de criptografia
| Característica | Chaves gerenciadas pela plataforma | Chaves gerenciadas pelo cliente (pública) | Chaves gerenciadas pelo cliente (privadas) |
|---|---|---|---|
| Propriedade da chave | Microsoft gerencia | Cliente gerencia | Cliente gerencia |
| Rotação de chaves | Automático | Configurável pelo usuário | Configurável pelo usuário |
| Criação do cofre de chaves | Automático | Cliente cria | Cliente cria |
| Isolamento de rede | N/A | Não | Yes |
Requirements
- A nova criptografia KMS com chaves gerenciadas pela plataforma ou chaves gerenciadas pelo cliente com experiência de rotação automática de chave requer o Kubernetes versão 1.33 ou posterior.
- A nova criptografia KMS com chaves gerenciadas pela plataforma ou chaves gerenciadas pelo cliente com experiência de rotação automática de chave só tem suporte em clusters do AKS em que a identidade gerenciada é usada para a identidade do cluster.
Limitações
- Sem downgrade: depois de habilitar a nova experiência de criptografia KMS, não será possível desabilitar o recurso.
- Exclusão de chave: A exclusão da chave de criptografia ou do cofre de chaves torna seus segredos irrecuperáveis.
- Acesso ao ponto de extremidade privado: ainda não há suporte para o acesso ao cofre de chaves usando o link privado/ponto de extremidade . Para cofres de chaves privados, use a exceção de firewall para serviços confiáveis.