Habilita la encriptación de claves secretas

En este documento, se explica cómo habilitar la encriptación de Secrets del consumidor almacenados para la app de desarrollador (credenciales de cliente) en la base de datos Cassandra.

Descripción general

Tradicionalmente, Apigee Edge para la nube privada ha proporcionado encriptación opcional para el mapa de par clave-valor. (KVM) y tokens de acceso de OAuth.

En la siguiente tabla, se describen las opciones de encriptación de los datos en reposo en Apigee para la nube privada:

Entidad Encriptación habilitada de forma predeterminada Encriptación disponible de manera opcional Documentación relacionada
KVM No Consulta Información acerca de los KVM encriptados.
Tokens de acceso de OAuth No Consulta Tokens de hash para mayor seguridad.
Secretos del consumidor de la app de desarrollador No Para habilitarlo, sigue los pasos de configuración que se indican en este documento.

Para habilitar la encriptación de las credenciales del cliente, debes realizar las siguientes tareas en todos los nodos del procesador de mensajes y del servidor de administración:

  • Crea un almacén de claves para almacenar Clave de encriptación de claves (KEK). Apigee usa esta clave encriptada con el objetivo de encriptar las claves secretas necesarias para encriptar tus datos.
  • Edita las propiedades de configuración en todos los nodos del servidor de administración y del procesador de mensajes.
  • Crea una app de desarrollador para activar la creación de claves.
  • Reinicia los nodos.

Estas tareas se explican en este documento.

Lo que debes saber sobre la clave función de encriptación

En los pasos de este documento, se explica cómo habilitar la función KEK, que permite que Apigee encripte el las claves secretas que se usan para encriptar las apps los Secrets del consumidor cuando se almacenan en reposo en la base de datos Cassandra.

De forma predeterminada, cualquier valor existente en la base de datos no se modificará (en texto sin formato) y se y siga funcionando como antes.

Si realizas alguna operación de escritura en una entidad no encriptada, esta se encriptará cuando se guardó la operación. Por ejemplo, si revocas un token no encriptado y, luego, lo apruebas se encripta el nuevo token aprobado.

Seguridad de las llaves

Asegúrate de almacenar una copia del almacén de claves en la que se almacena la KEK en una ubicación segura. Te recomendamos que uses tus mecanismo seguro para guardar una copia del almacén de claves. Como se explica en las instrucciones de este documento, se debe colocar un almacén de claves en cada procesador de mensajes y nodo de servidor de administración donde se encuentre de configuración de Terraform pueda hacer referencia a él. Pero también es importante almacenar copia del almacén de claves en otro lugar para mantenerla segura y como respaldo.

Habilita la encriptación de claves

Sigue estos pasos para la encriptación de claves secretas del consumidor:

Requisitos previos

Debes cumplir con estos requisitos antes de realizar los pasos que se indican en este documento:

  • Debes instalar o actualizar a Apigee Edge para la nube privada 4.50.00.10 o una versión posterior.
  • Debes ser administrador de Apigee Edge para la nube privada.

Paso 1: Genera un almacén de claves

Sigue estos pasos para crear un almacén de claves que contenga la clave de encriptación de claves (KEK):

  1. Ejecuta el siguiente comando para generar un almacén de claves donde guardar una clave que se usará para lo siguiente: para encriptar la KEK. Ingresa el comando exactamente como se muestra. (Puedes proporcionar el nombre del almacén de claves que desees):
    keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
-keystore kekstore.p12 -storetype PKCS12

    Cuando se te solicite, ingresa una contraseña. La usarás en secciones posteriores cuando configurar el servidor de administración y el procesador de mensajes.

    Este comando genera un archivo de almacén de claves kekstore.p12 que contiene una clave con alias KEYSTORE_NAME.

  2. Usa el siguiente comando para verificar que el archivo se haya generado correctamente (opcional). Si el archivo es correcta, el comando muestra una clave con el alias KEYSTORE_NAME: 
    keytool -list -keystore kekstore.p12

Paso 2: Configura el servidor de administración

A continuación, configura el servidor de administración. Si tiene servidores de administración instalados en varios nodos, debes repetir estos pasos en cada nodo.

  1. Copia el archivo del almacén de claves que generaste en el paso 1 en un directorio del nodo del servidor de administración, como /opt/apigee/customer/application. Por ejemplo: 
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. Asegúrate de que el usuario apigee pueda leer el archivo: 
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
     
    chmod 400 /opt/apigee/customer/application/kekstore.p12
  3. Agrega las siguientes propiedades a /opt/apigee/customer/application/management-server.properties. Si el archivo no existe, créalo. Consulta también la Referencia del archivo de propiedades.
    conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.

conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    Ten en cuenta que KEK_PASSWORD puede ser el mismo que KEYSTORE_PASSWORD según la herramienta que se use para generar el almacén de claves.

  4. Reinicia el servidor de administración con los siguientes comandos: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
     
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

    El comando wait_for_ready muestra el siguiente mensaje cuando el servidor de administración está listo:

    Checking if management-server is up: management-server is up.
  5. Si tienes servidores de administración instalados en varios nodos, repite los pasos del 1 al 4 anteriores en cada uno de ellos. en tu nodo del servidor.

Paso 3: Crea una app de desarrollador

Ahora que se actualizaron los servidores de administración, debes crear una app de desarrollador para activar la generación de la clave que se usa para encriptar los datos de las credenciales del cliente:

  1. Crear una app de desarrollador para activar la creación de una clave de encriptación de datos (KEK) En el caso de los pasos, consulta Registra una app.
  2. Si lo deseas, puedes borrar la app del desarrollador. No es necesario mantenerla cerca una vez que la encriptación clave.

Paso 4: Configura procesadores de mensajes

Hasta que se habilite la encriptación en los procesadores de mensajes, las solicitudes del entorno de ejecución no podrán procesar ninguna credencial encriptada.

  1. Copia el archivo del almacén de claves que generaste en el paso 1 en un directorio del nodo del procesador de mensajes. como /opt/apigee/customer/application. Por ejemplo: 
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. Asegúrate de que el usuario apigee pueda leer el archivo: 
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
  3. Agrega las siguientes propiedades a /opt/apigee/customer/application/message-processor.properties. Si el archivo no existe, créalo. Consulta también la Referencia del archivo de propiedades. 
    conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.


conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    Ten en cuenta que el KEK_PASSWORD puede ser el mismo que el KEYSTORE_PASSWORD. según la herramienta que se use para generar el almacén de claves.

  4. Reinicia el procesador de mensajes con los siguientes comandos: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
     
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

    El comando wait_for_ready muestra el siguiente mensaje cuando el procesador de mensajes está listo para procesar mensajes:

    Checking if message-processor is up: message-processor is up.
  5. Si tienes procesadores de mensajes instalados en varios nodos, repite los pasos del 1 al 4 en cada uno. en el nodo del procesador de mensajes.

Resumen

Todas las aplicaciones de desarrollador que crees a partir de ahora tendrán su secreto de credencial encriptado en se encuentran en la base de datos de Cassandra.

Usar variables de entorno para propiedades de configuración

Como alternativa, puedes establecer la siguiente configuración del procesador de mensajes y del servidor de administración propiedades con variables de entorno. Si se configura, las variables de entorno anulan las propiedades establecido en el archivo de configuración del procesador de mensajes o del servidor de administración. 

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

Las variables de entorno correspondientes son las siguientes: 

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
 
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

Si configuraste estas variables de entorno, puedes omitir estas propiedades de configuración de la archivos de configuración en los nodos del procesador de mensajes y del servidor de administración, ya que se ignorarán: 

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

Referencia del archivo de propiedades

En esta sección, se describen las propiedades de configuración que debes establecer en todos los procesadores de mensajes. y los nodos del servidor de administración, como se explicó anteriormente en este documento.

Propiedad Predeterminado Descripción
conf_keymanagement_kmscred.encryption.enabled false Debe ser true para habilitar la encriptación de claves.
conf_keymanagement_kmscred.encryption.allowFallback false Configura allowFallback como true para asegurarte de que tus credenciales de texto simple existentes sigan funcionando.
conf_keymanagement_kmscred.encryption.keystore.path N/A Proporciona la ruta de acceso al almacén de claves KEK en el procesador de mensajes o en el nodo del servidor de administración. Consulta el Paso 2: Configura la administración servidor y Paso 3: Configura procesadores de mensajes.
conf_keymanagement_kmscred.encryption.kek.alias N/A Es el alias con el que se almacena la KEK en el almacén de claves.
conf_keymanagement_kmscred.encryption.keystore.pass N/A Son opcionales si usas variables de entorno para configurar estas propiedades. Consulta también Uso del entorno para las propiedades de configuración.
conf_keymanagement_kmscred.encryption.kek.pass N/A Son opcionales si usas variables de entorno para configurar estas propiedades. Consulta también Uso del entorno para las propiedades de configuración.