การเปิดใช้การเข้ารหัสลับคีย์ลับ

เอกสารนี้อธิบายวิธีเปิดใช้การเข้ารหัสข้อมูลลับของผู้บริโภคในแอปของนักพัฒนาซอฟต์แวร์ (ข้อมูลเข้าสู่ระบบไคลเอ็นต์) ที่จัดเก็บไว้ในฐานข้อมูล Cassandra

ภาพรวม

แต่เดิม Apigee Edge สำหรับ Private Cloud ได้ให้การเข้ารหัสที่ไม่บังคับสำหรับข้อมูลแมปค่าคีย์ (KVM) และโทเค็นเพื่อการเข้าถึง OAuth

ตารางต่อไปนี้อธิบายตัวเลือกการเข้ารหัสสำหรับข้อมูลที่ไม่มีการเคลื่อนไหวใน Apigee สำหรับ Private Cloud

เอนทิตี การเข้ารหัสเปิดใช้อยู่โดยค่าเริ่มต้น มีการเข้ารหัสที่ไม่บังคับ เอกสารประกอบที่เกี่ยวข้อง
KVM ไม่ได้ มี โปรดดูเกี่ยวกับ KVM ที่เข้ารหัส
โทเค็นเพื่อการเข้าถึง OAuth ไม่ได้ มี โปรดดูการแฮชโทเค็นเพื่อเพิ่มความปลอดภัย
ข้อมูลลับของผู้ใช้แอปของนักพัฒนาซอฟต์แวร์ ไม่ได้ มี หากต้องการเปิดใช้ ให้ทำตามขั้นตอนการกำหนดค่าในเอกสารนี้

หากต้องการเปิดใช้การเข้ารหัสข้อมูลเข้าสู่ระบบไคลเอ็นต์ คุณจะต้องดำเนินการต่อไปนี้บนโหนดเซิร์ฟเวอร์ตัวประมวลผลข้อความและโหนดเซิร์ฟเวอร์การจัดการทั้งหมด

  • สร้างคีย์สโตร์เพื่อจัดเก็บคีย์การเข้ารหัสคีย์ (KEK) Apigee จะใช้คีย์ที่เข้ารหัสนี้เพื่อเข้ารหัสคีย์ลับที่จำเป็นต่อการเข้ารหัสข้อมูลของคุณ
  • แก้ไขพร็อพเพอร์ตี้การกำหนดค่าในเซิร์ฟเวอร์การจัดการและโหนดตัวประมวลผลข้อความทั้งหมด
  • สร้างแอปนักพัฒนาซอฟต์แวร์เพื่อทริกเกอร์การสร้างคีย์
  • รีสตาร์ทโหนด

งานเหล่านี้มีคำอธิบายอยู่ในเอกสารนี้

สิ่งที่คุณจำเป็นต้องทราบเกี่ยวกับฟีเจอร์การเข้ารหัสคีย์

ขั้นตอนในเอกสารนี้จะอธิบายวิธีเปิดใช้ฟีเจอร์ KEK ซึ่งอนุญาตให้ Apigee เข้ารหัสคีย์ลับที่ใช้ในการเข้ารหัสข้อมูลลับของผู้ใช้แอปของนักพัฒนาซอฟต์แวร์เมื่อจัดเก็บไว้ที่ไม่มีการเคลื่อนไหวในฐานข้อมูล Cassandra

โดยค่าเริ่มต้น ค่าที่มีอยู่ในฐานข้อมูลจะไม่เปลี่ยนแปลง (เป็นข้อความธรรมดา) และจะใช้งานได้เหมือนเดิม

หากคุณดำเนินการเขียนในเอนทิตีที่ไม่ได้เข้ารหัส ระบบจะเข้ารหัสการดำเนินการดังกล่าวเมื่อมีการบันทึกการดำเนินการ ตัวอย่างเช่น หากคุณเพิกถอนโทเค็นที่ไม่ได้เข้ารหัสแล้วอนุมัติในภายหลัง โทเค็นที่อนุมัติใหม่จะได้รับการเข้ารหัส

เก็บรักษากุญแจให้ปลอดภัย

อย่าลืมเก็บสำเนาคีย์สโตร์ที่เก็บ KEK ไว้ในที่ที่ปลอดภัย เราขอแนะนำให้ใช้กลไกที่ปลอดภัยของคุณเองในการบันทึกสำเนาของคีย์สโตร์ ตามคำแนะนำในเอกสารนี้ จะต้องมีการวางคีย์สโตร์ในผู้ประมวลผลข้อความและโหนดเซิร์ฟเวอร์การจัดการแต่ละโหนดที่ไฟล์การกำหนดค่าในเครื่องอ้างอิงถึงได้ แต่ก็ควรเก็บสำเนาของคีย์สโตร์ไว้ที่อื่นเพื่อเก็บรักษาและสำรองข้อมูล

กำลังเปิดใช้การเข้ารหัสคีย์

ทำตามขั้นตอนต่อไปนี้เพื่อเข้ารหัสคีย์ลับของผู้ใช้

ข้อกำหนดเบื้องต้น

คุณต้องปฏิบัติตามข้อกำหนดเหล่านี้ก่อนทำตามขั้นตอนในเอกสารฉบับนี้

  • คุณต้องติดตั้งหรืออัปเกรดเป็น Apigee Edge สำหรับ Private Cloud เวอร์ชัน 4.50.00.10 ขึ้นไป
  • คุณต้องเป็น Apigee Edge สำหรับผู้ดูแลระบบ Private Cloud

ขั้นตอนที่ 1: สร้างคีย์สโตร์

ทำตามขั้นตอนต่อไปนี้เพื่อสร้างคีย์สโตร์เพื่อเก็บคีย์การเข้ารหัสคีย์ (KEK)

  1. ใช้คำสั่งต่อไปนี้เพื่อสร้างคีย์สโตร์เพื่อจัดเก็บคีย์ที่จะใช้ในการเข้ารหัส KEK ป้อนคำสั่งให้ตรงตามที่แสดง (คุณระบุชื่อคีย์สโตร์ได้ตามต้องการ) ดังนี้
    keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
-keystore kekstore.p12 -storetype PKCS12

    ป้อนรหัสผ่านเมื่อได้รับข้อความแจ้ง คุณจะใช้รหัสผ่านนี้ในส่วนต่อๆ ไปเมื่อกำหนดค่าเซิร์ฟเวอร์การจัดการและผู้ประมวลผลข้อความ

    คำสั่งนี้จะสร้างไฟล์คีย์สโตร์ kekstore.p12 ที่มีคีย์ที่มีชื่อแทน KEYSTORE_NAME

  2. (ไม่บังคับ) ตรวจสอบว่าสร้างไฟล์อย่างถูกต้องด้วยคำสั่งต่อไปนี้ หากไฟล์ถูกต้อง คำสั่งจะแสดงคีย์ที่มีชื่อแทน KEYSTORE_NAME ดังนี้ 
    keytool -list -keystore kekstore.p12

ขั้นตอนที่ 2: กำหนดค่าเซิร์ฟเวอร์การจัดการ

ถัดมา ให้กำหนดค่าเซิร์ฟเวอร์การจัดการ หากคุณมีเซิร์ฟเวอร์การจัดการติดตั้งบนหลายโหนด คุณต้องทำขั้นตอนเหล่านี้ซ้ำในแต่ละโหนด

  1. คัดลอกไฟล์คีย์สโตร์ที่คุณสร้างในขั้นตอนที่ 1 ไปยังไดเรกทอรีในโหนดเซิร์ฟเวอร์การจัดการ เช่น /opt/apigee/customer/application ตัวอย่างเช่น 
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. ตรวจสอบว่าผู้ใช้ apigee อ่านไฟล์ได้ ดังนี้ 
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
    chmod 400 /opt/apigee/customer/application/kekstore.p12
  3. เพิ่มพร็อพเพอร์ตี้ต่อไปนี้ใน /opt/apigee/customer/application/management-server.properties หากไม่มีไฟล์ ให้สร้างขึ้นมา โปรดดูข้อมูลอ้างอิงไฟล์พร็อพเพอร์ตี้เพิ่มเติม
    conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.

conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    โปรดทราบว่า KEK_PASSWORD อาจเหมือนกับ KEYSTORE_PASSWORD ขึ้นอยู่กับเครื่องมือที่ใช้ในการสร้างคีย์สโตร์

  4. รีสตาร์ทเซิร์ฟเวอร์การจัดการโดยใช้คำสั่งต่อไปนี้ 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

    คำสั่ง wait_for_ready จะแสดงผลข้อความต่อไปนี้เมื่อเซิร์ฟเวอร์การจัดการพร้อมแล้ว

    Checking if management-server is up: management-server is up.
  5. หากคุณติดตั้งเซิร์ฟเวอร์การจัดการบนโหนดหลายรายการ ให้ทำขั้นตอนที่ 1-4 ด้านบนซ้ำในโหนดเซิร์ฟเวอร์การจัดการแต่ละโหนด

ขั้นตอนที่ 3: สร้างแอปนักพัฒนาซอฟต์แวร์

เมื่ออัปเดตเซิร์ฟเวอร์การจัดการแล้ว คุณต้องสร้างแอปสำหรับนักพัฒนาซอฟต์แวร์เพื่อทริกเกอร์การสร้างคีย์ที่ใช้ในการเข้ารหัสข้อมูลเข้าสู่ระบบไคลเอ็นต์ ดังนี้

  1. สร้างแอปนักพัฒนาซอฟต์แวร์เพื่อทริกเกอร์การสร้างคีย์การเข้ารหัสข้อมูล (KEK) สำหรับขั้นตอน โปรดดูที่การลงทะเบียนแอป
  2. ลบแอปนักพัฒนาซอฟต์แวร์หากต้องการ คุณไม่จำเป็นต้องเก็บไฟล์ไว้หลังจากสร้างคีย์การเข้ารหัสแล้ว

ขั้นตอนที่ 4: กำหนดค่าเครื่องมือประมวลผลข้อความ

คำขอรันไทม์จะประมวลผลข้อมูลเข้าสู่ระบบที่เข้ารหัสไม่ได้ จนกว่าจะเปิดใช้การเข้ารหัสในตัวประมวลผลข้อความ

  1. คัดลอกไฟล์คีย์สโตร์ที่คุณสร้างในขั้นตอนที่ 1 ไปยังไดเรกทอรีในโหนดตัวประมวลผลข้อความ เช่น /opt/apigee/customer/application ตัวอย่างเช่น 
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. ตรวจสอบว่าผู้ใช้ apigee อ่านไฟล์ได้ โดยทำดังนี้ 
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
  3. เพิ่มพร็อพเพอร์ตี้ต่อไปนี้ใน /opt/apigee/customer/application/message-processor.properties หากไม่มีไฟล์ ให้สร้างขึ้นมา โปรดดูข้อมูลอ้างอิงไฟล์พร็อพเพอร์ตี้เพิ่มเติม 
    conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.


conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    โปรดทราบว่า KEK_PASSWORD อาจเหมือนกับ KEYSTORE_PASSWORD ทั้งนี้ขึ้นอยู่กับเครื่องมือที่ใช้ในการสร้างคีย์สโตร์

  4. รีสตาร์ทตัวประมวลผลข้อความโดยใช้คำสั่งต่อไปนี้ 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

    คำสั่ง wait_for_ready จะแสดงผลข้อความต่อไปนี้เมื่อตัวประมวลผลข้อความพร้อมที่จะประมวลผลข้อความ

    Checking if message-processor is up: message-processor is up.
  5. หากคุณติดตั้งตัวประมวลผลข้อความบนโหนดหลายรายการ ให้ทำซ้ำขั้นตอนที่ 1-4 ในโหนดตัวประมวลผลข้อความแต่ละโหนด

สรุป

แอปนักพัฒนาซอฟต์แวร์ที่คุณสร้างขึ้นจากนี้ไปจะได้รับการเข้ารหัสข้อมูลลับสำหรับเข้าสู่ระบบเมื่อไม่ได้ใช้งานในฐานข้อมูล Cassandra

การใช้ตัวแปรสภาพแวดล้อมสำหรับพร็อพเพอร์ตี้การกำหนดค่า

คุณสามารถตั้งค่าพร็อพเพอร์ตี้การกำหนดค่าตัวประมวลผลข้อความและเซิร์ฟเวอร์การจัดการต่อไปนี้โดยใช้ตัวแปรสภาพแวดล้อมได้ด้วย หากมีการตั้งค่า ตัวแปรสภาพแวดล้อมจะลบล้างพร็อพเพอร์ตี้ที่ตั้งค่าไว้ในไฟล์ประมวลผลข้อความหรือไฟล์การกำหนดค่าเซิร์ฟเวอร์การจัดการ 

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

ตัวแปรสภาพแวดล้อมที่เกี่ยวข้องมีดังนี้ 

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

หากตั้งค่าตัวแปรสภาพแวดล้อมเหล่านี้ คุณจะละเว้นพร็อพเพอร์ตี้การกำหนดค่าเหล่านี้จากไฟล์การกำหนดค่าในระบบประมวลผลข้อความและโหนดเซิร์ฟเวอร์การจัดการได้ เนื่องจากระบบจะไม่สนใจพร็อพเพอร์ตี้การกำหนดค่าเหล่านี้ 

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

การอ้างอิงไฟล์คุณสมบัติ

ส่วนนี้จะอธิบายถึงพร็อพเพอร์ตี้การกำหนดค่าที่คุณต้องตั้งค่าในระบบประมวลผลข้อความและโหนดเซิร์ฟเวอร์การจัดการทั้งหมด ตามที่อธิบายไว้ก่อนหน้านี้ในเอกสารนี้

พร็อพเพอร์ตี้ ค่าเริ่มต้น คำอธิบาย
conf_keymanagement_kmscred.encryption.enabled false ต้องเป็น true เพื่อเปิดใช้การเข้ารหัสคีย์
conf_keymanagement_kmscred.encryption.allowFallback false ตั้งค่า AllowFallback เป็น true เพื่อให้ข้อมูลเข้าสู่ระบบแบบข้อความธรรมดาที่มีอยู่ทำงานต่อไปได้
conf_keymanagement_kmscred.encryption.keystore.path ไม่มีข้อมูล ระบุเส้นทางไปยังแหล่งเก็บคีย์ KEK บนผู้ประมวลผลข้อความหรือโหนดเซิร์ฟเวอร์การจัดการ โปรดดูขั้นตอนที่ 2: กำหนดค่าเซิร์ฟเวอร์การจัดการและขั้นตอนที่ 3: กำหนดค่าตัวประมวลผลข้อความ
conf_keymanagement_kmscred.encryption.kek.alias ไม่มีข้อมูล ชื่อแทนที่ใช้เก็บ KEK ในคีย์สโตร์
conf_keymanagement_kmscred.encryption.keystore.pass ไม่มีข้อมูล ไม่บังคับหากคุณใช้ตัวแปรสภาพแวดล้อมเพื่อตั้งค่าพร็อพเพอร์ตี้เหล่านี้ ดูการใช้ตัวแปรสภาพแวดล้อมสำหรับพร็อพเพอร์ตี้การกำหนดค่าเพิ่มเติม
conf_keymanagement_kmscred.encryption.kek.pass ไม่มีข้อมูล ไม่บังคับหากคุณใช้ตัวแปรสภาพแวดล้อมเพื่อตั้งค่าพร็อพเพอร์ตี้เหล่านี้ ดูการใช้ตัวแปรสภาพแวดล้อมสำหรับพร็อพเพอร์ตี้การกำหนดค่าเพิ่มเติม