- v1.12 (più recente)
- Versione 1.11
- Versione 1.10
- Elenco delle versioni supportate
- Versione 1.9
- Versione 1.8
- Versione 1.7
- Versione 1.6
- Versione 1.5
- Versione 1.4
- Versione 1.3
- Versione 1.2
- Versione 1.1
Versioni supportate:
Versioni non supportate:
Per impostazione predefinita, i seguenti dati vengono archiviati criptati nel piano di runtime ibrido:
- Dati del sistema di gestione delle chiavi (KMS)
- Dati mappa chiave-valore (KVM)
- Memorizzazione nella cache dei dati
La crittografia dei dati non richiede una configurazione speciale da parte tua. Tuttavia, se per qualche motivo vuoi utilizzare le tue chiavi di crittografia (sostituendo quelle predefinite), puoi farlo, come spiegato in questo argomento.
Ambito della chiave di crittografia
Le chiavi di crittografia per KMS, KVM e cache hanno un ambito. Ad esempio, le chiavi KMS hanno l'ambito organizzazione. Ciò significa che la chiave viene utilizzata per criptare i dati KMS per l'intera organizzazione. La seguente tabella elenca l'ambito di ciascun tipo di chiave:
Chiave di crittografia | Ambito |
---|---|
KMS | Solo organizzazione |
KVM |
Organizzazione o ambiente
Se un criterio KVM specifica l'ambito |
Cache | Solo ambiente |
Informazioni sulle chiavi di crittografia predefinite
Per impostazione predefinita, Apigee hybrid fornisce un set di chiavi con codifica Base64 utilizzate per criptare i dati KVM, KMS e della cache. Il programma di installazione ibrido di Apigee archivia le chiavi nel piano di runtime come secret di Kubernetes e le utilizza per criptare i dati con la crittografia standard AES-128. Le chiavi sono sotto il tuo controllo; il piano di gestione ibrido non ne viene mai a conoscenza in nessun momento.
Modifica delle chiavi di crittografia predefinite
Sebbene non sia obbligatorio, puoi modificare qualsiasi chiave di crittografia predefinita, se vuoi. Per sostituire una o più chiavi predefinite, segui questi passaggi:
- Copia le seguenti stanze nel file di override.
Questa configurazione consente di modificare le chiavi di crittografia KMS e KVM a livello di organizzazione e le chiavi di crittografia KVM e della cache per il livello di ambiente:
defaults: org: kmsEncryptionKey: base64-encoded-key kvmEncryptionKey: base64-encoded-key env: kvmEncryptionKey: base64-encoded-key cacheEncryptionKey: base64-encoded-key
- Genera una nuova chiave per ogni chiave che vuoi sostituire. Ogni chiave deve essere una stringa con codifica Base64 esattamente di 16, 24 o 32 byte. Vedi anche Come creare una chiave codificata.
- Sostituisci le chiavi predefinite con altre nuove. In questo esempio, tutte le chiavi predefinite vengono sostituite con chiavi:
defaults: org: kmsEncryptionKey: "JVpTb1FwI0otUHo2RUdRN3pnVyQqVGlMSEFAJXYmb1c=" kvmEncryptionKey: "T3VkRGM1U3cpOFgtNk9fMnNZU2NaSVA3I1BtZWxkaUU=" env: kvmEncryptionKey: "Q3h6M3R6OWdBeipxTURfKjQwQVdtTng2dU5mODFHcyE=" cacheEncryptionKey: "b2NTVXdKKjBzN0NORF9XSm9tWFlYKGJ6NUhpNystJVI="
- Applica il file di override al cluster come segue:
- Se modifichi le chiavi KVM o Cache, aggiorna solo l'ambiente:
$APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --env env_name
- Se modifichi le chiavi KMS, aggiorna sia l'organizzazione sia l'ambiente:
$APIGEECTL_HOME/apigeectl apply -f overrides/overrides.yaml --env env_name --org org_name
- Se modifichi le chiavi KVM o Cache, aggiorna solo l'ambiente:
Una nota sulla compatibilità con le versioni precedenti
Se rimuovi le chiavi di crittografia dal file di override la prima volta che installi Apigee hybrid, disabiliteresti di fatto la crittografia e i valori verrebbero archiviati non criptati. Se in un secondo momento abiliti la crittografia fornendo le chiavi, l'uscita dai dati non verrà crittografata; tuttavia, tutti i dati aggiunti in futuro verranno criptati. Il sistema continuerà a funzionare normalmente con i dati non criptati e con i nuovi dati criptati.
Inoltre, tieni presente che in un secondo momento non potrai modificare le chiavi di crittografia dopo che i dati di runtime saranno stati criptati.
Come creare una chiave codificata
Per la crittografia di KVM, KMS e della cache è necessaria una chiave con codifica Base-64 formattata correttamente. La chiave utilizzata per questi scopi deve essere codificata in Base-64 da una stringa di 16, 24 o 32 byte, come spiegato di seguito:
Il seguente comando di esempio genera una stringa adatta, generata in modo casuale, di 32 caratteri con codifica Base64:
head -c 32 /dev/random | openssl base64