Modifica delle chiavi di crittografia di Looker

Looker utilizza la crittografia AES-256 Galois/Counter Mode (GCM) per criptare i dati internamente. Ogni dato viene criptato usando una chiave dati univoca e contiene una busta di crittografia firmata e sottoposta al controllo delle versioni a garanzia della verifica. Questa modalità richiede l'utilizzo di una chiave principale del cliente (CMK) esterna. La CMK viene utilizzata per dedurre, criptare e decriptare la chiave di crittografia della chiave (KEK), che a sua volta viene utilizzata per dedurre, criptare e decriptare le chiavi di dati.

Le installazioni ospitate dal cliente che utilizzano la crittografia precedente devono eseguire la migrazione dei database interni alla crittografia AES-256 GCM. Le nuove installazioni ospitate dal cliente devono essere configurate per la crittografia GCM AES-256. Consulta la pagina della documentazione Utilizzo della crittografia GCM AES-256 per istruzioni sulla migrazione o sulla configurazione dell'installazione ospitata dal cliente per la crittografia GCM AES-256.

Se vuoi modificare la CMK o passare da una configurazione basata su chiave locale a una configurazione AWS KMS (o viceversa), puoi creare una nuova CMK e ridigitare la crittografia AES-256 GCM.

La richiave viene eseguita offline, il che significa che l'istanza di Looker deve essere arrestata. Per le istanze Looker raggruppate, tutti i nodi del cluster devono essere arrestati.

La riscrittura della chiave invalida l'intera cache su disco di Looker, inclusa la cache dei risultati della query. Di conseguenza, dopo aver completato una richiave e avviato l'istanza, i database del client potrebbero avere un carico più elevato del solito.

Per cambiare la chiave della crittografia AES-256 GCM, svolgi le seguenti procedure:

  1. Arresta Looker e crea un backup completo
  2. Imposta le variabili di ambiente _SOURCE e _DESTINATION
  3. Esegui il comando rekey
  4. Impostare nuove variabili di ambiente
  5. Avvia Looker

Interrompi Looker e crea un backup completo

Esegui i seguenti comandi:

cd looker
./looker stop
tar -zcvf /tmp/looker-pre-encrypt.tar.gz  /home/lookerops/looker --exclude=.cache --exclude=log --exclude=.tmp --exclude=.snapshots --exclude=looker.jar --exclude=authorized_keys --exclude=dr-log --exclude=core

Se utilizzi un database MySQL esterno per archiviare i dati dell'applicazione Looker, esegui il backup del database separatamente. Se il database è un'istanza MySQL, acquisisci uno snapshot. Il database è relativamente piccolo, quindi dovrebbe richiedere solo pochi minuti.

Se Looker è in cluster, assicurati di arrestare ogni nodo prima di procedere:

cd looker
./looker stop

Se alcuni nodi sono ancora in esecuzione quando in seguito emetti il comando rekey, il comando non andrà a buon fine con il messaggio "Esistono altri nodi attivi connessi a questo database Looker di backend. Se Looker è stato arrestato nell'ultimo minuto, riprova a breve, altrimenti verifica che tutti i nodi del cluster siano stati arrestati."

Imposta le variabili di ambiente _SOURCE e _DESTINATION

Quando la tua istanza di Looker è stata inizialmente migrata o configurata per la crittografia GCM AES-256, sono state create una o più variabili di ambiente che indicano dove Looker può trovare la tua chiave CMK. Queste variabili variano a seconda che tu stia utilizzando o meno AWS KMS.

L'operazione di ricreazione della chiave utilizza variabili di ambiente aggiuntive, a seconda che tu stia attualmente utilizzando AWS KMS e se lo utilizzerai dopo l'operazione di ricreazione della chiave. Le variabili di ambiente con suffisso _SOURCE indicano dove Looker può attualmente trovare la tua CMK, mentre le variabili di ambiente con il suffisso _DESTINATION indicano dove Looker può trovare la tua chiave CMK dopo l'operazione di richiave.

Impostazione di _SOURCE variabili

Esegui una delle seguenti procedure, a seconda che la configurazione attuale utilizzi KMS AWS.

Se al momento utilizzi AWS KMS

Se inizialmente hai configurato la crittografia utilizzando KMS AWS, hai creato una o entrambe le seguenti variabili di ambiente:

  • LKR_AWS_CMK: archivia il CMK_alias AWS.
  • LKR_AWS_CMK_EC: una variabile facoltativa che definisce il contesto di crittografia utilizzato con gli archivi chiavi KMS di AWS.

Ricrea le variabili di ambiente:

export LKR_AWS_CMK=alias/<CMK_alias>
export LKR_AWS_CMK_EC=<encryption_context>

Quindi crea le variabili _SOURCE. Imposta le seguenti nuove variabili con il suffisso _SOURCE:

export LKR_AWS_CMK_SOURCE=alias/<CMK_alias>
export LKR_AWS_CMK_EC_SOURCE=<encryption_context>

Se al momento non utilizzi KMS AWS

Se inizialmente hai configurato la crittografia utilizzando un KMS diverso da AWS, hai creato una delle seguenti variabili di ambiente, a seconda che tu memorizzi la CMK in una variabile di ambiente o in un file nella tua istanza:

  • LKR_MASTER_KEY_ENV: se memorizzi la CMK in una variabile di ambiente, questa la memorizza.
  • LKR_MASTER_KEY_FILE: se memorizzi la CMK in un file, vengono memorizzati il percorso e il nome del file contenente la CMK.

Ricrea la variabile di ambiente utilizzata per la configurazione:

export LKR_MASTER_KEY_FILE=<path_to_key_file>

Oppure:

export LKR_MASTER_KEY_ENV=<CMK_value>

Quindi, crea la variabile _SOURCE.

Se memorizzi la CMK in un file, crea la seguente variabile:

export LKR_MASTER_KEY_FILE_SOURCE=<path_to_key_file>

Se memorizzi la CMK in una variabile di ambiente, crea la seguente variabile:

export LKR_MASTER_KEY_ENV_SOURCE=<CMK_value>

Impostazione di _DESTINATION variabili

Esegui una delle seguenti procedure, a seconda che tu intenda utilizzare o meno AWS KMS dopo l'operazione di richiave.

La nuova configurazione utilizzerà AWS KMS

Se la nuova configurazione utilizzerà KMS AWS, crea le seguenti variabili di ambiente per indicare la nuova posizione CMK:

export LKR_AWS_CMK_DESTINATION=alias/<new_CMK_alias>
export LKR_AWS_CMK_EC_DESTINATION=<new_encryption_context>

La nuova configurazione non utilizzerà AWS KMS

Se la nuova configurazione non utilizzerà AWS KMS, puoi utilizzare le variabili LKR_MASTER_KEY_FILE_DESTINATION o LKR_MASTER_KEY_ENV_DESTINATION per specificare la destinazione del CMK.

Se vuoi memorizzare la CMK in un file, esegui il seguente comando:

export LKR_MASTER_KEY_FILE_DESTINATION=<path_to_new_key_file>

In alternativa, se vuoi archiviare la chiave CMK utilizzando una variabile di ambiente, esegui il comando seguente:

export LKR_MASTER_KEY_ENV_DESTINATION=<CMK_value>

Esegui il comando rekey

Esegui il seguente comando:

./looker rekey

Se la tua istanza di Looker viene avviata con le opzioni di avvio -d <db.yaml> o --internal-db-creds=<db.yaml>, che forniscono un percorso a un file YAML con le credenziali del tuo database, devi includere la stessa opzione con il comando rekey.

Ad esempio, java -jar looker.jar rekey -d /path/file/db.yaml.

Impostare nuove variabili di ambiente

Imposta una o più delle seguenti variabili di ambiente in base alle esigenze della nuova configurazione.

Se la nuova configurazione utilizza KMS AWS:

export LKR_AWS_CMK=alias/<new_CMK_alias>
export LKR_AWS_CMK_EC=<new_encryption_context>

Se la nuova configurazione non utilizza AWS KMS e archivi la CMK in una variabile di ambiente:

export LKR_MASTER_KEY_ENV=<CMK_value>

Se la nuova configurazione non utilizza AWS KMS e archivi la CMK in un file:

export LKR_MASTER_KEY_FILE=<path_to_CMK_file>

Se hai eseguito la migrazione da una chiave archiviata localmente ad AWS KMS o da AWS KMS a una chiave archiviata localmente, avrai variabili di ambiente non necessarie della configurazione precedente. Elimina le vecchie variabili di ambiente.

Se hai eseguito la migrazione da una chiave archiviata localmente ad AWS KMS:

unset LKR_MASTER_KEY_FILE

Se hai eseguito lo spostamento da AWS KMS a una chiave archiviata in locale:

unset LKR_AWS_CMK
unset LKR_AWS_CMK_EC

Avvia Looker

Esegui il seguente comando:

./looker start