Modifica delle chiavi di crittografia di Looker

Looker utilizza la crittografia AES-256 Galois/Counter Mode (GCM) per criptare i dati internamente. Ogni elemento di dati viene criptato tramite una chiave di dati univoca e contiene una busta di crittografia firmata e con controllo delle versioni per garantire la verifica. Questa modalità richiede l'utilizzo di una Customer Master Key (CMK) esterna. La chiave CMK viene utilizzata per ricavare, criptare e decriptare la chiave di crittografia delle chiavi (KEK), che a sua volta viene utilizzata per ricavare, criptare e decriptare le chiavi di dati.

Le installazioni ospitate dal cliente che utilizzano la crittografia legacy devono eseguire la migrazione dei propri database interni alla crittografia AES-256 GCM. Le nuove installazioni ospitate dal cliente devono configurare le relative installazioni per la crittografia AES-256 GCM. Per istruzioni su come eseguire la migrazione o la configurazione dell'installazione ospitata dal cliente per la crittografia AES-256 GCM, consulta la pagina Utilizzo della crittografia AES-256 GCM.

Se vuoi cambiare il tuo CMK o se vuoi passare da una configurazione locale basata su chiave a una configurazione AWS KMS (o viceversa), puoi creare un nuovo CMK e reimpostare la crittografia GCM 256 GCM.

La modifica della posizione avviene offline, il che significa che l'istanza di Looker deve essere arrestata. Per le istanze Looker in cluster, tutti i nodi del cluster devono essere arrestati.

La modifica della chiave invalida l'intera cache sul disco di Looker, inclusa la cache dei risultati della query. Di conseguenza, dopo aver completato un rekey e avviato l'istanza, i database client potrebbero subire un carico di caricamento più elevato del solito.

Per reimpostare la crittografia GCM AES-256, procedi nel seguente modo:

  1. Arresta Looker e crea un backup completo
  2. Impostare le variabili di ambiente _SOURCE e _DESTINATION
  3. Esegui il comando rekey
  4. Impostare nuove variabili di ambiente
  5. Avvia Looker

Interrompi Looker e crea un backup completo

Utilizza i seguenti comandi:

cd looker
./looker stop
tar -zcvf /tmp/looker-pre-encrypt.tar.gz  /home/lookerops/looker --exclude=.cache --exclude=log --exclude=.tmp --exclude=.snapshots --exclude=looker.jar --exclude=authorized_keys --exclude=dr-log --exclude=core

Se esegui un database MySQL esterno per archiviare i dati delle applicazioni Looker, esegui il backup del database separatamente. Se il database è un'istanza MySQL, acquisisci uno snapshot. Il database è relativamente piccolo, quindi dovrebbe richiedere solo qualche minuto.

Se Looker è in cluster, assicurati di arrestare ogni nodo prima di procedere:

cd looker
./looker stop

Se alcuni nodi sono ancora in esecuzione in un secondo momento, il comando rekey restituirà un errore con il messaggio "A questo database di Looker backend sono collegati altri nodi attivi. Se Looker è stato arrestato nell'ultimo minuto, riprova a breve, altrimenti verifica che tutti i nodi nel cluster siano arrestati."

Imposta le variabili di ambiente _SOURCE e _DESTINATION

Quando è stata inizialmente eseguita la migrazione o la configurazione della crittografia AES-256 GCM della tua istanza di Looker, sono state create una o più variabili di ambiente che indicano dove Looker può trovare la CMK. Queste variabili variano a seconda che tu stia utilizzando AWS KMS.

L'operazione di rekey utilizza variabili di ambiente aggiuntive, a seconda che tu stia attualmente utilizzando AWS KMS e se utilizzerai AWS KMS dopo l'operazione di rekey. Le variabili di ambiente con il suffisso _SOURCE indicano dove Looker può attualmente trovare il tuo CMK, mentre le variabili di ambiente con il suffisso _DESTINATION indicano dove Looker può trovare il tuo CMK dopo l'operazione di rikeykey.

Impostazione di _SOURCE variabili

Esegui una delle seguenti procedure, a seconda che la tua configurazione attuale utilizzi AWS KMS.

Se attualmente utilizzi AWS KMS

Se inizialmente hai configurato la crittografia utilizzando AWS KMS, hai creato una o entrambe le seguenti variabili di ambiente:

  • LKR_AWS_CMK: archivia AWS CMK_alias.
  • LKR_AWS_CMK_EC: una variabile facoltativa che definisce il contesto di crittografia utilizzato con gli archivi chiavi AWS KMS.

Ricrea le variabili di ambiente riportate sopra:

export LKR_AWS_CMK=alias/<CMK_alias>
export LKR_AWS_CMK_EC=<encryption_context>

quindi crea le variabili _SOURCE. Imposta le nuove variabili seguenti con il suffisso _SOURCE:

export LKR_AWS_CMK_SOURCE=alias/<CMK_alias>
export LKR_AWS_CMK_EC_SOURCE=<encryption_context>

Se non stai utilizzando AWS KMS

Se inizialmente hai configurato la crittografia utilizzando un KMS diverso da AWS, hai creato una delle seguenti variabili di ambiente, a seconda che tu memorizzi la tua variabile CMK in una variabile di ambiente o in un file nell'istanza:

  • LKR_MASTER_KEY_ENV: se memorizzi il tuo CMK in una variabile di ambiente, questo viene memorizzato.
  • LKR_MASTER_KEY_FILE: se memorizzi il tuo CMK in un file, viene archiviato il percorso e il nome del file contenente il CMK.

Ricrea la variabile di ambiente utilizzata per la configurazione:

export LKR_MASTER_KEY_FILE=<path_to_key_file>

Oppure:

export LKR_MASTER_KEY_ENV=<CMK_value>

Quindi, crea la variabile _SOURCE.

Se memorizzi il tuo CMK in un file, crea la seguente variabile:

export LKR_MASTER_KEY_FILE_SOURCE=<path_to_key_file>

Se memorizzi il tuo CMK in una variabile di ambiente, crea la seguente variabile:

export LKR_MASTER_KEY_ENV_SOURCE=<CMK_value>

Impostazione di _DESTINATION variabili

Esegui una delle seguenti procedure, a seconda che utilizzerai AWS KMS dopo l'operazione di ripristino.

La nuova configurazione utilizzerà AWS KMS

Se la nuova configurazione utilizza AWS KMS, crea le seguenti variabili di ambiente per indicare la nuova posizione CMK:

export LKR_AWS_CMK_DESTINATION=alias/<new_CMK_alias>
export LKR_AWS_CMK_EC_DESTINATION=<new_encryption_context>

La nuova configurazione non utilizzerà AWS KMS

Se la nuova configurazione non utilizza AWS KMS, puoi utilizzare le variabili LKR_MASTER_KEY_FILE_DESTINATION o LKR_MASTER_KEY_ENV_DESTINATION per specificare la destinazione CMK.

Se vuoi archiviare il tuo CMK in un file, esegui il comando seguente:

export LKR_MASTER_KEY_FILE_DESTINATION=<path_to_new_key_file>

In alternativa, se vuoi archiviare CMK utilizzando una variabile di ambiente, esegui il comando seguente:

export LKR_MASTER_KEY_ENV_DESTINATION=<CMK_value>

Esegui il comando rekey

Esegui questo comando:

./looker rekey

Imposta nuove variabili di ambiente

Imposta una o più delle seguenti variabili di ambiente come appropriate per la nuova configurazione.

Se la nuova configurazione utilizza AWS KMS:

export LKR_AWS_CMK=alias/<new_CMK_alias>
export LKR_AWS_CMK_EC=<new_encryption_context>

Se la nuova configurazione non utilizza AWS KMS e memorizzi il tuo CMK in una variabile di ambiente:

export LKR_MASTER_KEY_ENV=<CMK_value>

Se la nuova configurazione non utilizza AWS KMS e memorizzi il tuo CMK in un file:

export LKR_MASTER_KEY_FILE=<path_to_CMK_file>

Se sei passato da una chiave archiviata localmente ad AWS KMS o da AWS KMS a una chiave archiviata localmente, avrai delle variabili di ambiente della configurazione precedente che non sono necessarie. Elimina le variabili di ambiente precedenti.

Se sei passato da una chiave archiviata localmente ad AWS KMS:

unset LKR_MASTER_KEY_FILE

Se sei passato da AWS KMS a una chiave archiviata localmente:

unset LKR_AWS_CMK
unset LKR_AWS_CMK_EC

Avvia Looker

Esegui questo comando:

./looker start