En este documento, se explica cómo habilitar la encriptación de los secretos de consumidor de la app para desarrolladores (credenciales de cliente) almacenados en la base de datos de Cassandra.
Descripción general
Tradicionalmente, Apigee Edge for Private Cloud proporcionaba encriptación opcional para datos de mapas de clave-valor (KVM) y tokens de acceso de OAuth.
En la siguiente tabla, se describen las opciones de encriptación de los datos en reposo en Apigee para la nube privada:
Entidad | Encriptación habilitada de forma predeterminada | Encriptación disponible de forma opcional | Documentación relacionada |
KVM | No | Sí | Consulta Información sobre los KVM encriptados. |
Tokens de acceso de OAuth | No | Sí | Consulta Tokens de hash para obtener más seguridad. |
Secretos del consumidor de la app de desarrollador | No | Sí | Para habilitarla, sigue los pasos de configuración que se indican en este documento. |
Para habilitar la encriptación de las credenciales de cliente, debes realizar las siguientes tareas en todos los nodos del procesador de mensajes y del servidor de administración:
- Crea un almacén de claves para almacenar una clave de encriptación de claves (KEK). Apigee usa esta clave encriptada para encriptar las claves secretas necesarias para encriptar tus datos.
- Editar las propiedades de configuración en todos los nodos del servidor de administración y del procesador de mensajes
- Crea una app de desarrollador para activar la creación de claves.
- Reinicia los nodos.
Estas tareas se explican en este documento.
Qué debes saber sobre la función de encriptación de claves
En los pasos de este documento, se explica cómo habilitar la función de KEK, que le permite a Apigee encriptar las claves secretas que se usan para encriptar los secretos de consumidor de la app de desarrollador cuando se almacenan en reposo en la base de datos de Cassandra.
Según la configuración predeterminada, los valores existentes en la base de datos permanecerán inalterados (en texto sin formato) y seguirán funcionando como antes.
Si realizas alguna operación de escritura en una entidad no encriptada, se encriptará cuando se guarde la operación. Por ejemplo, si revocas un token no encriptado y, luego, lo apruebas, se encriptará el token aprobado recientemente.
Protegemos las claves
Asegúrate de almacenar una copia del almacén de claves en el que se almacena la KEK en una ubicación segura. Te recomendamos que uses tu propio mecanismo seguro para guardar una copia del almacén de claves. Como se explica en las instrucciones de este documento, se debe colocar un almacén de claves en cada procesador de mensajes y nodo del servidor de administración en los que el archivo de configuración local pueda hacer referencia a él. Sin embargo, también es importante almacenar una copia del almacén de claves en otro lugar por motivos de seguridad y como copia de seguridad.
Habilita la encriptación de claves
Sigue estos pasos para la encriptación de claves secretas del consumidor:
Requisitos previos
Debes cumplir con estos requisitos antes de realizar los pasos de este documento:
- Debes instalar o actualizar a Apigee Edge para la nube privada 4.50.00.10 o una versión posterior.
- Debes ser administrador de Apigee Edge para nube privada.
Paso 1: Genera un almacén de claves
Sigue estos pasos para crear un almacén de claves que contenga la clave de encriptación de claves (KEK):
- Ejecuta el siguiente comando a fin de generar un almacén de claves para almacenar una clave que se usará a fin de encriptar la KEK. Ingresa el comando exactamente como se muestra. (Puedes proporcionar el nombre que desees para el almacén de claves):
keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \ -keystore kekstore.p12 -storetype PKCS12
Cuando se te solicite, ingresa una contraseña. Usarás esta contraseña en secciones posteriores cuando configures el servidor de administración y el procesador de mensajes.
Este comando genera un archivo de almacén de claves kekstore.p12 que contiene una clave con el alias KEYSTORE_NAME.
- (Opcional) Verifica que el archivo se haya generado correctamente con el siguiente comando. Si el archivo es correcto, el comando muestra una clave con el alias KEYSTORE_NAME:
keytool -list -keystore kekstore.p12
Paso 2: Configura el servidor de administración
A continuación, configura el servidor de administración. Si tienes servidores de administración instalados en varios nodos, debes repetir estos pasos en cada uno de ellos.
- Copia el archivo del almacén de claves que generaste en el paso 1 en un directorio del nodo del servidor de administración, como
/opt/apigee/customer/application
. Por ejemplo:cp certs/kekstore.p12 /opt/apigee/customer/application
- Asegúrate de que el usuario
apigee
pueda leer el archivo:chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
chmod 400 /opt/apigee/customer/application/kekstore.p12
- Agrega las siguientes propiedades a
/opt/apigee/customer/application/management-server.properties
. Si el archivo no existe, créalo. Consulta también la Referencia del archivo de propiedades.
conf_keymanagement_kmscred.encryption.enabled=true # Fallback is true to ensure your existing plaintext credentials continue to work conf_keymanagement_kmscred.encryption.allowFallback=true conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME # These could alternately be set as environment variables. These variables should be # accessible to Apigee user during bootup of the Java process. If environment # variables are specified, you can skip the password configs below. # KMSCRED_ENCRYPTION_KEYSTORE_PASS= # KMSCRED_ENCRYPTION_KEK_PASS= See also Using environment variables for configuration properties. conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD
Ten en cuenta que el
KEK_PASSWORD
puede ser el mismo que elKEYSTORE_PASSWORD
según la herramienta que se use para generar el almacén de claves. - Reinicia el servidor de administración con los siguientes comandos:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready
El comando
wait_for_ready
muestra el siguiente mensaje cuando el servidor de administración está listo:Checking if management-server is up: management-server is up.
- Si tienes servidores de administración instalados en varios nodos, repite los pasos del 1 al 4 anteriores en cada nodo del servidor de administración.
Paso 3: Crea una app de desarrollador
Ahora que los servidores de administración están actualizados, debes crear una app de desarrollador que active la generación de la clave que se usa para encriptar los datos de las credenciales del cliente:
- Crear una app de desarrollador para activar la creación de una clave de encriptación de datos (KEK) Para conocer los pasos, consulta Cómo registrar una app.
- Si lo deseas, puedes borrar la app del desarrollador. No es necesario que la conserves después de que se genere la clave de encriptación.
Paso 4: Configura procesadores de mensajes
Hasta que la encriptación esté habilitada en los procesadores de mensajes, las solicitudes del entorno de ejecución no podrán procesar ninguna credencial encriptada.
- Copia el archivo del almacén de claves que generaste en el paso 1 en un directorio del nodo del procesador de mensajes, como
/opt/apigee/customer/application
. Por ejemplo:cp certs/kekstore.p12 /opt/apigee/customer/application
- Asegúrate de que el usuario
apigee
pueda leer el archivo:chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
- Agrega las siguientes propiedades a
/opt/apigee/customer/application/message-processor.properties
. Si el archivo no existe, créalo. Consulta también la Referencia del archivo de propiedades.conf_keymanagement_kmscred.encryption.enabled=true # Fallback is true to ensure your existing plaintext credentials continue to work conf_keymanagement_kmscred.encryption.allowFallback=true conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME # These could alternately be set as environment variables. These variables should be # accessible to Apigee user during bootup of the Java process. If environment # variables are specified, you can skip the password configs below. # KMSCRED_ENCRYPTION_KEYSTORE_PASS= # KMSCRED_ENCRYPTION_KEK_PASS= See also Using environment variables for configuration properties. conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD
Ten en cuenta que el
KEK_PASSWORD
puede ser el mismo que elKEYSTORE_PASSWORD
según la herramienta que se use para generar el almacén de claves. - Reinicia el procesador de mensajes con los siguientes comandos:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready
El comando
wait_for_ready
muestra el siguiente mensaje cuando el procesador de mensajes está listo para procesar mensajes:Checking if message-processor is up: message-processor is up.
- Si tienes procesadores de mensajes instalados en varios nodos, repite los pasos del 1 al 4 en cada uno de ellos.
Resumen
Todas las apps de desarrollador que crees a partir de ahora tendrán su secreto de credencial encriptado en reposo en la base de datos de Cassandra.
Usa variables de entorno para las propiedades de configuración
Como alternativa, puedes definir las siguientes propiedades de configuración del procesador de mensajes y del servidor de administración con variables de entorno. Si se establecen, las variables de entorno anulan las propiedades establecidas en el procesador de mensajes o el archivo de configuración del servidor de administración.
conf_keymanagement_kmscred.encryption.keystore.pass= conf_keymanagement_kmscred.encryption.kek.pass=
Las variables de entorno correspondientes son las siguientes:
export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD
Si configuras estas variables de entorno, puedes omitir estas propiedades de configuración de los archivos de configuración en los nodos del procesador de mensajes y del servidor de administración, ya que se ignorarán:
conf_keymanagement_kmscred.encryption.keystore.pass conf_keymanagement_kmscred.encryption.kek.pass
Referencia del archivo de propiedad
En esta sección, se describen las propiedades de configuración que debes establecer en todos los nodos del procesador de mensajes y del servidor de administración, como se explicó anteriormente en este documento.
Propiedad | Predeterminada | Descripción |
conf_keymanagement_kmscred.encryption.enabled
|
false
|
Debe ser true para habilitar la encriptación de claves.
|
conf_keymanagement_kmscred.encryption.allowFallback
|
false
|
Configura allowFallback como true para asegurarte de que tus credenciales existentes de texto sin formato sigan funcionando.
|
conf_keymanagement_kmscred.encryption.keystore.path
|
No disponible | Proporciona la ruta de acceso al almacén de claves KEK en el procesador de mensajes o el nodo del servidor de administración. Consulta Paso 2: Configura el servidor de administración y Paso 3: Configura procesadores de mensajes. |
conf_keymanagement_kmscred.encryption.kek.alias
|
No disponible | Alias con el que se almacena la KEK en el almacén de claves. |
conf_keymanagement_kmscred.encryption.keystore.pass
|
No disponible | Es opcional si usas variables de entorno para configurar estas propiedades. Consulta también Usa variables de entorno para las propiedades de configuración. |
conf_keymanagement_kmscred.encryption.kek.pass
|
No disponible | Es opcional si usas variables de entorno para configurar estas propiedades. Consulta también Usa variables de entorno para las propiedades de configuración. |