Per impostazione predefinita, i seguenti dati vengono archiviati criptati nel cloud di runtime:
- Dati del sistema di gestione delle chiavi (KMS)
- Dati mappa chiave-valore (KVM)
- Memorizzazione nella cache dei dati
La crittografia dei dati non richiede alcuna configurazione speciale da parte tua. Tuttavia, se per qualche motivo vuoi utilizzare le tue chiavi di crittografia (sostituendo quelle predefinite), puoi come spiegato in questo argomento.
Ambito della chiave di crittografia
Le chiavi di crittografia per KMS, KVM e cache hanno un ambito. Ad esempio, le chiavi KMS hanno organizzazione l'ambito di attività. Ciò significa che la chiave viene utilizzata per criptare i dati KMS per l'intera organizzazione. La tabella seguente elenca l'ambito per ciascun tipo di chiave:
Chiave di crittografia | Ambito |
---|---|
KMS | Solo organizzazione |
KVM |
Organizzazione o ambiente
Se un criterio KVM
specifica |
Cache | Solo ambiente |
Informazioni sulle chiavi di crittografia predefinite
Per impostazione predefinita, Apigee hybrid fornisce un set di chiavi con codifica Base64 che vengono utilizzate per criptare i dati di KVM, KMS e della cache. Il programma di installazione ibrido Apigee archivia le chiavi un piano di runtime Kubernetes Secret e li utilizza per criptare i tuoi dati con la crittografia standard AES-128. Le chiavi sono sotto il tuo controllo; il piano di gestione ibrida non ne è mai a conoscenza.
Modifica delle chiavi di crittografia predefinite
Sebbene non sia obbligatorio, puoi modificare qualsiasi chiave di crittografia predefinita se vuoi. Per sostituire una o più chiavi predefinite:
- Copia le seguenti stanza nel file degli override.
Questa configurazione consente di modificare le chiavi di crittografia KMS e KVM
a livello di organizzazione e le chiavi di crittografia della cache e KVM per il livello di ambiente:
defaults: org: kmsEncryptionKey: base64-encoded-key kvmEncryptionKey: base64-encoded-key env: kvmEncryptionKey: base64-encoded-key cacheEncryptionKey: base64-encoded-key
- Genera una nuova chiave per ogni chiave che vuoi sostituire. Ciascuna deve essere una stringa con codifica Base64 che ha esattamente 16, 24 o 32 byte. Consulta anche Come creare un modello di attribuzione chiave.
- Sostituisci le chiavi predefinite con altre nuove. In questo esempio, tutte le chiavi predefinite sono
sostituiti con chiavi:
defaults: org: kmsEncryptionKey: "JVpTb1FwI0otUHo2RUdRN3pnVyQqVGlMSEFAJXYmb1c=" kvmEncryptionKey: "T3VkRGM1U3cpOFgtNk9fMnNZU2NaSVA3I1BtZWxkaUU=" env: kvmEncryptionKey: "Q3h6M3R6OWdBeipxTURfKjQwQVdtTng2dU5mODFHcyE=" cacheEncryptionKey: "b2NTVXdKKjBzN0NORF9XSm9tWFlYKGJ6NUhpNystJVI="
- Applica il file degli override al cluster come segue:
- Se modifichi le chiavi KVM o cache, aggiorna solo l'ambiente:
Helm
helm upgrade ENV_NAME apigee-env/ \ --namespace apigee \ --atomic \ --set env=ENV_NAME \ -f OVERRIDES_FILE.yaml
apigeectl
$APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE.yaml --env ENV_NAME
- Se modifichi le chiavi KMS, aggiorna sia l'organizzazione che l'ambiente:
Helm
helm upgrade ORG_NAME apigee-org/ \ --namespace apigee \ --atomic \ -f OVERRIDES_FILE.yaml
helm upgrade ENV_NAME apigee-env/ \ --namespace apigee \ --set env=ENV_NAME \ --atomic \ -f OVERRIDES_FILE.yaml
apigeectl
$APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE.yaml --env ENV_NAME --org ORG_NAME
- Se modifichi le chiavi KVM o cache, aggiorna solo l'ambiente:
Una nota sulla compatibilità con le versioni precedenti
Se rimuovi le chiavi di crittografia nel file degli override, il primo installando Apigee hybrid, a disattivare in modo efficace la crittografia e i valori non sarebbero criptati. Se in un secondo momento abilitare la crittografia fornendo le chiavi, i dati in uscita rimangono non criptati; Tuttavia, eventuali dati aggiunti in futuro essere criptati. Il sistema continuerà a funzionare normalmente con i dati non criptati e i nuovi e i dati di Google Cloud.
Inoltre, tieni presente che non puoi modificare le chiavi di crittografia in un secondo momento dopo la crittografia dei dati del runtime.
Come creare una chiave codificata
Per la crittografia della cache, KVM, KMS e della cache è necessaria una chiave con codifica Base-64 formattata correttamente. La chiave utilizzata per questi scopi deve essere codificata in Base64 da una stringa con un valore 16, 24 o 32 byte, come spiegato di seguito:
Il seguente comando di esempio genera un'immagine di 32 caratteri adatta, Stringa con codifica Base64:
head -c 32 /dev/random | openssl base64