הצפנת נתונים

כברירת מחדל, הנתונים הבאים מאוחסנים מוצפנים במישור זמן הריצה ההיברידי:

  • נתונים של מערכת ניהול מפתחות (KMS)
  • נתונים של מפת מפתח/ערך (KVM)
  • שמירת נתונים במטמון

הצפנת הנתונים לא מצריכה הגדרה מיוחדת מצדכם. עם זאת, אם מסיבה כלשהי אתם רוצים להשתמש במפתחות הצפנה משלכם (במקום במפתחות ברירת המחדל), אתם יכולים לעשות זאת, כמו שמוסבר בנושא הזה.

היקף מפתח ההצפנה

למפתחות הצפנה של KMS,‏ KVM ומטמון יש היקף. לדוגמה, למפתחות KMS יש היקף ארגון. כלומר, המפתח משמש להצפנת נתוני KMS בארגון כולו. בטבלה הבאה מפורט ההיקף של כל סוג מפתח:

מפתח הצפנה היקף
KMS רק הארגון
KVM ארגון או סביבה

אם מדיניות KVM מציינת היקף של apiproxy או policy (גרסה של proxy ל-API), המפתח ברמת הארגון משמש להצפנת הנתונים. סקירה כללית על השימוש במפות מפתח-ערך ב-Apigee Edge זמינה במאמר עבודה עם מפות מפתח-ערך.
מטמון סביבה בלבד

מידע על מפתחות הצפנה שמוגדרים כברירת מחדל

כברירת מחדל, Apigee hybrid מספק קבוצה של מפתחות בקידוד Base64 שמשמשים להצפנת נתונים של KVM,‏ KMS ומטמון. התוכנה להתקנת Apigee hybrid מאחסנת את המפתחות במישור זמן הריצה כסודות של Kubernetes, ומשתמשת בהם כדי להצפין את הנתונים באמצעות הצפנה רגילה מסוג AES-128. המפתחות נמצאים בשליטתכם, ורמת הניהול ההיברידית אף פעם לא מודעת להם.

שינוי מפתחות ההצפנה שמוגדרים כברירת מחדל

אפשר לשנות את כל מפתחות ההצפנה שמוגדרים כברירת מחדל, אם רוצים, אבל זה לא חובה. כדי להחליף מקש ברירת מחדל אחד או יותר, פועלים לפי השלבים הבאים:

  1. מעתיקים את הפסקאות הבאות לקובץ השינויים. ההגדרה הזו מאפשרת לשנות את מפתחות ההצפנה של KMS ו-KVM ברמת הארגון, ואת מפתחות ההצפנה של KVM ושל המטמון ברמת הסביבה: 
    defaults:
  org:
    kmsEncryptionKey: base64-encoded-key
    kvmEncryptionKey: base64-encoded-key
  env:
    kvmEncryptionKey: base64-encoded-key
    cacheEncryptionKey: base64-encoded-key
  2. יוצרים מפתח חדש לכל מפתח שרוצים להחליף. כל מפתח חייב להיות מחרוזת בקידוד Base64 באורך של 16, 24 או 32 בייט בדיוק. אפשר גם לקרוא איך יוצרים מפתח מוצפן.
  3. מחליפים את מקשי ברירת המחדל במקשים חדשים. בדוגמה הזו, כל מקשי ברירת המחדל מוחלפים במקשים: 
    defaults:
  org:
    kmsEncryptionKey: "JVpTb1FwI0otUHo2RUdRN3pnVyQqVGlMSEFAJXYmb1c="
    kvmEncryptionKey: "T3VkRGM1U3cpOFgtNk9fMnNZU2NaSVA3I1BtZWxkaUU="
  env:
    kvmEncryptionKey: "Q3h6M3R6OWdBeipxTURfKjQwQVdtTng2dU5mODFHcyE="
    cacheEncryptionKey: "b2NTVXdKKjBzN0NORF9XSm9tWFlYKGJ6NUhpNystJVI="
  4. מחילים את קובץ הביטולים על האשכול באופן הבא:
    • אם משנים את מפתחות ה-KVM או מפתחות המטמון, צריך לעדכן רק את הסביבה:

      Helm

      helm upgrade ENV_NAME apigee-env/ \
  --namespace apigee \
  --atomic \
  --set env=ENV_NAME \
  -f OVERRIDES_FILE.yaml

      apigeectl

      $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE.yaml --env ENV_NAME
    • אם משנים את מפתחות ה-KMS, צריך לעדכן גם את הארגון וגם את הסביבה:

      Helm

        helm upgrade ORG_NAME apigee-org/ \
    --namespace apigee \
    --atomic \
    -f OVERRIDES_FILE.yaml

      helm upgrade ENV_NAME apigee-env/ \
  --namespace apigee \
  --set env=ENV_NAME \
  --atomic \
  -f OVERRIDES_FILE.yaml

      apigeectl

      $APIGEECTL_HOME/apigeectl apply -f OVERRIDES_FILE.yaml --env ENV_NAME --org ORG_NAME

הערה לגבי תאימות לאחור

אם תסירו את מפתחות ההצפנה בקובץ ההחלפות בפעם הראשונה שתתקינו את Apigee Hybrid, תשביתו למעשה את ההצפנה והערכים יישמרו ללא הצפנה. אם בשלב מאוחר יותר תפעילו הצפנה על ידי הזנת מפתחות, הנתונים הקיימים יישארו לא מוצפנים, אבל כל הנתונים שיתווספו בעתיד יוצפנו. המערכת תמשיך לפעול כרגיל עם הנתונים הלא מוצפנים ועם הנתונים המוצפנים החדשים.

בנוסף, חשוב לדעת שאי אפשר לשנות את מפתחות ההצפנה אחרי שהנתונים בזמן הריצה מוצפנים.

איך יוצרים מפתח מקודד

כדי להצפין את ה-KVM, את ה-KMS ואת המטמון, צריך מפתח בפורמט תקין בקידוד Base-64. המפתח שמשמש לכל אחת מהמטרות האלה חייב להיות מקודד ב-Base-64 ממחרוזת באורך 16, 24 או 32 בייט, כמו שמפורט בהמשך:

הפקודה הבאה יוצרת מחרוזת מתאימה של 32 תווים בקידוד Base64, שנוצרה באופן אקראי: 

head -c 32 /dev/random | openssl base64