이 페이지는 Cloud Translation API를 통해 번역되었습니다.

보안 비밀 키 암호화 사용 설정

이 문서에서는 개발자 앱 고객 비밀번호 (클라이언트 사용자 인증 정보) 저장됨 확인할 수 있습니다

개요

기존에는 Private Cloud용 Apigee Edge는 키-값 맵의 암호화(선택사항)를 제공했습니다. (KVM) 데이터 및 OAuth 액세스 토큰이 있을 수 있습니다.

다음 표에는 프라이빗 클라우드용 Apigee의 저장 데이터에 대한 암호화 옵션이 설명되어 있습니다.

항목	암호화가 기본적으로 사용 설정됨	암호화(선택사항)	관련 문서
KVM	아니요	예	암호화된 KVM 정보를 참고하세요.
OAuth 액세스 토큰	아니요	예	보안 강화를 위한 토큰 해싱을 참조하세요.
개발자 앱 소비자 비밀번호	아니요	예	사용 설정하려면 이 문서의 구성 단계를 따르세요.

클라이언트 사용자 인증 정보의 암호화를 사용 설정하려면 모든 메시지 프로세서 및 관리 서버 노드:

키 저장소를 생성하여 키 암호화 키 (KEK). Apigee는 이 암호화된 키를 사용하여 데이터를 암호화하는 데 필요한 보안 비밀 키를 암호화합니다.
모든 관리 서버 및 메시지 프로세서 노드에서 구성 속성을 수정합니다.
키 생성을 트리거할 개발자 앱을 만듭니다.
노드를 다시 시작합니다.

이러한 작업은 이 문서에 설명되어 있습니다.

키에 관해 알아야 할 사항 암호화 기능

이 문서의 단계에서는 Apigee가 개발자 앱 암호화에 사용되는 보안 비밀 키 고객 보안 비밀이 Cassandra 데이터베이스에 저장되어 있을 때 이러한 고객 비밀번호를 안전하게 보호합니다.

기본적으로 데이터베이스의 기존 값은 변경되지 않고 (일반 텍스트) 그대로 유지됩니다. 전과 동일하게 작동합니다

</ph> 참고: Apigee는 '대체'를 제공합니다. 옵션을 사용하여 기본값입니다. 즉, 기본적으로 암호화되지 않은 고객 보안 비밀은 실패합니다. 만약 다음 단계에서 설명하는 것처럼 allowFallback 플래그가 true로 설정되면 암호화되지 않은 항목이 성공합니다. 예를 들어 allowFallback이 false인 경우 암호화되지 않은 개발자 앱 고객 보안 비밀은 작업이 길어져서 API 키 확인이 실패합니다.

암호화되지 않은 항목에서 쓰기 작업을 수행하는 경우 저장됩니다. 예를 들어 암호화되지 않은 토큰을 취소한 후 나중에 승인하는 경우 새로 승인된 토큰이 암호화됩니다.

키를 안전하게 보관

KEK가 저장된 키 저장소의 사본을 안전한 위치에 저장해야 합니다. 자체 프로젝트 보안 메커니즘을 사용하여 키 저장소의 사본을 저장합니다. 이 문서의 안내에서 알 수 있듯이 키 저장소는 로컬 키 저장소가 있는 각 메시지 프로세서와 관리 서버 노드에 모든 구성 파일이 이를 참조할 수 있습니다. 하지만 한 가지 중요한 점은 키 저장소의 사본을 다른 곳에 보관하고 백업으로 보관하시기 바랍니다.

키 암호화 사용 설정

고객 보안 비밀 키 암호화 단계는 다음과 같습니다.

기본 요건

이 문서의 단계를 수행하기 전에 다음 요구사항을 충족해야 합니다.

Private Cloud용 Apigee Edge 4.50.00.10 이상을 설치하거나 업그레이드해야 합니다.
프라이빗 클라우드용 Apigee Edge 관리자여야 합니다.

1단계: 키 저장소 생성

다음 단계에 따라 키 암호화 키 (KEK)를 보관할 키 저장소를 만듭니다.

다음 명령어를 실행하여 키 저장소 생성에 사용할 키를 저장하는 키 저장소를 생성합니다. 암호화합니다 표시된 대로 명령어를 정확하게 입력합니다. (원하는 키 저장소 이름을 제공할 수 있습니다.)
```
keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
-keystore kekstore.p12 -storetype PKCS12
```
메시지가 표시되면 비밀번호를 입력합니다. 이 비밀번호는 관리 서버 및 메시지 프로세서를 구성합니다.

이 명령어는 kekstore.p12 키 저장소 파일을 별칭 KEYSTORE_NAME.
(선택사항) 다음 명령어를 사용하여 파일이 올바르게 생성되었는지 확인합니다. 파일 올바르다면 명령어는 별칭 KEYSTORE_NAME이 있는 키를 반환합니다.
```
keytool -list -keystore kekstore.p12
```

2단계: 관리 서버 구성하기

다음으로 관리 서버를 구성합니다. 여러 노드에 관리 서버가 설치된 경우 각 노드에서 이 단계를 반복해야 합니다

1단계에서 생성한 키 저장소 파일을 관리 서버 노드의 디렉터리(예: /opt/apigee/customer/application)에 복사합니다. 예를 들면 다음과 같습니다.
```
cp certs/kekstore.p12 /opt/apigee/customer/application
```

apigee 사용자가 파일을 읽을 수 있는지 확인합니다.

chown apigee:apigee /opt/apigee/customer/application/kekstore.p12

chmod 400 /opt/apigee/customer/application/kekstore.p12

다음 속성을 /opt/apigee/customer/application/management-server.properties에 추가합니다. 파일이 없으면 새로 만듭니다. 속성 파일 참조도 확인하세요.

conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.

conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

KEK_PASSWORD는 키 저장소를 생성하는 데 사용된 도구에 따라 KEYSTORE_PASSWORD와 동일할 수도 있습니다.

다음 명령어를 사용하여 관리 서버를 다시 시작합니다.

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

/opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

관리 서버가 준비되면 wait_for_ready 명령어가 다음 메시지를 반환합니다.

Checking if management-server is up: management-server is up.

관리 서버가 여러 노드에 설치된 경우 각 관리에서 위의 1~4단계를 반복합니다. kube-APIserver로 전송합니다

3단계: 개발자 앱 만들기

이제 관리 서버가 업데이트되었으므로 생성을 트리거할 개발자 앱을 만들어야 합니다. 클라이언트 사용자 인증 정보 데이터를 암호화하는 데 사용되는 키의 값:

데이터 암호화 키 (KEK) 생성을 트리거하는 개발자 앱을 만듭니다. 단계의 경우 자세한 내용은 앱 등록을 참조하세요.
원하는 경우 개발자 앱을 삭제합니다. 일단 암호화하고 나면 데이터를 보관할 필요가 없습니다. 키가 생성됩니다

4단계: 메시지 프로세서 구성

메시지 프로세서에서 암호화를 사용 설정할 때까지 런타임 요청에서 암호화된 사용자 인증 정보를 처리할 수 없습니다.

1단계에서 생성한 키 저장소 파일을 메시지 프로세서 노드의 디렉터리에 복사합니다. /opt/apigee/customer/application 등). 예를 들면 다음과 같습니다.
```
cp certs/kekstore.p12 /opt/apigee/customer/application
```
apigee 사용자가 파일을 읽을 수 있는지 확인합니다.
```
chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
```

다음 속성을 /opt/apigee/customer/application/message-processor.properties에 추가합니다. 파일이 없으면 새로 만듭니다. 속성 파일 참조도 확인하세요.

conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.


conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

KEK_PASSWORD는 KEYSTORE_PASSWORD와 동일할 수 있습니다. 키 저장소를 생성하는 데 사용된 도구에 따라 달라집니다.

다음 명령어를 사용하여 메시지 프로세서를 다시 시작합니다.

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

wait_for_ready 명령어는 메시지 프로세서가 에서 메시지를 처리할 준비가 되었습니다.

Checking if message-processor is up: message-processor is up.

메시지 프로세서가 여러 노드에 설치된 경우 각각에 대해 1~4단계를 반복합니다. 메시지 프로세서 노드입니다

요약

이제부터 만드는 모든 개발자 앱의 사용자 인증 정보 비밀번호가 다음 시점에 암호화됩니다. 저장된다는 사실을 기억하세요

다음에 환경 변수 사용 구성 속성

또는 다음과 같은 메시지 프로세서 및 관리 서버 구성을 설정할 수도 있습니다. 속성을 사용하여 쿼리합니다. 설정된 경우 환경 변수가 속성을 재정의합니다. 메시지 프로세서 또는 관리 서버 구성 파일에 설정됩니다.

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

해당하는 환경 변수는 다음과 같습니다.

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD

export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

이러한 환경 변수를 설정하면 구성 파일이 무시되므로 메시지 프로세서 및 관리 서버 노드의 구성 파일이 무시됩니다.

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

속성 파일 참조

이 섹션에서는 모든 메시지 프로세서에서 설정해야 하는 구성 속성을 설명합니다. 관리 서버 노드와 상호작용할 수 있습니다

속성	기본값	설명
`conf_keymanagement_kmscred.encryption.enabled`	`false`	키 암호화를 사용 설정하려면 `true`이어야 합니다.
`conf_keymanagement_kmscred.encryption.allowFallback`	`false`	allowFallback을 `true`로 설정하여 기존 일반 텍스트 사용자 인증 정보가 계속 작동하도록 합니다.
`conf_keymanagement_kmscred.encryption.keystore.path`	해당 사항 없음	메시지 프로세서 또는 관리 서버 노드의 KEK 키 저장소 경로를 제공합니다. 2단계: 관리 구성하기 서버와 3단계: 메시지 프로세서 구성하기를 참고하세요.
`conf_keymanagement_kmscred.encryption.kek.alias`	해당 사항 없음	키 저장소에 저장된 KEK의 별칭입니다.
`conf_keymanagement_kmscred.encryption.keystore.pass`	해당 사항 없음	환경 변수를 사용하여 이러한 속성을 설정하는 경우 선택사항입니다. 참고 항목 환경 사용 변수 정의를 참조하세요.
`conf_keymanagement_kmscred.encryption.kek.pass`	해당 사항 없음	환경 변수를 사용하여 이러한 속성을 설정하는 경우 선택사항입니다. 참고 항목 환경 사용 변수 정의를 참조하세요.