เอกสารนี้อธิบายวิธีเปิดใช้การเข้ารหัสข้อมูลลับของผู้บริโภคในแอปของนักพัฒนาซอฟต์แวร์ (ข้อมูลเข้าสู่ระบบไคลเอ็นต์) ที่จัดเก็บไว้ในฐานข้อมูล Cassandra
ภาพรวม
แต่เดิม Apigee Edge สำหรับ Private Cloud ได้ให้การเข้ารหัสที่ไม่บังคับสำหรับข้อมูลแมปค่าคีย์ (KVM) และโทเค็นเพื่อการเข้าถึง OAuth
ตารางต่อไปนี้อธิบายตัวเลือกการเข้ารหัสสำหรับข้อมูลที่ไม่มีการเคลื่อนไหวใน Apigee สำหรับ Private Cloud
เอนทิตี | การเข้ารหัสเปิดใช้อยู่โดยค่าเริ่มต้น | มีการเข้ารหัสที่ไม่บังคับ | เอกสารประกอบที่เกี่ยวข้อง |
KVM | ไม่ได้ | มี | โปรดดูเกี่ยวกับ KVM ที่เข้ารหัส |
โทเค็นเพื่อการเข้าถึง OAuth | ไม่ได้ | มี | โปรดดูการแฮชโทเค็นเพื่อเพิ่มความปลอดภัย |
ข้อมูลลับของผู้ใช้แอปของนักพัฒนาซอฟต์แวร์ | ไม่ได้ | มี | หากต้องการเปิดใช้ ให้ทำตามขั้นตอนการกำหนดค่าในเอกสารนี้ |
หากต้องการเปิดใช้การเข้ารหัสข้อมูลเข้าสู่ระบบไคลเอ็นต์ คุณจะต้องดำเนินการต่อไปนี้บนโหนดเซิร์ฟเวอร์ตัวประมวลผลข้อความและโหนดเซิร์ฟเวอร์การจัดการทั้งหมด
- สร้างคีย์สโตร์เพื่อจัดเก็บคีย์การเข้ารหัสคีย์ (KEK) Apigee จะใช้คีย์ที่เข้ารหัสนี้เพื่อเข้ารหัสคีย์ลับที่จำเป็นต่อการเข้ารหัสข้อมูลของคุณ
- แก้ไขพร็อพเพอร์ตี้การกำหนดค่าในเซิร์ฟเวอร์การจัดการและโหนดตัวประมวลผลข้อความทั้งหมด
- สร้างแอปนักพัฒนาซอฟต์แวร์เพื่อทริกเกอร์การสร้างคีย์
- รีสตาร์ทโหนด
งานเหล่านี้มีคำอธิบายอยู่ในเอกสารนี้
สิ่งที่คุณจำเป็นต้องทราบเกี่ยวกับฟีเจอร์การเข้ารหัสคีย์
ขั้นตอนในเอกสารนี้จะอธิบายวิธีเปิดใช้ฟีเจอร์ KEK ซึ่งอนุญาตให้ Apigee เข้ารหัสคีย์ลับที่ใช้ในการเข้ารหัสข้อมูลลับของผู้ใช้แอปของนักพัฒนาซอฟต์แวร์เมื่อจัดเก็บไว้ที่ไม่มีการเคลื่อนไหวในฐานข้อมูล Cassandra
โดยค่าเริ่มต้น ค่าที่มีอยู่ในฐานข้อมูลจะไม่เปลี่ยนแปลง (เป็นข้อความธรรมดา) และจะใช้งานได้เหมือนเดิม
หากคุณดำเนินการเขียนในเอนทิตีที่ไม่ได้เข้ารหัส ระบบจะเข้ารหัสการดำเนินการดังกล่าวเมื่อมีการบันทึกการดำเนินการ ตัวอย่างเช่น หากคุณเพิกถอนโทเค็นที่ไม่ได้เข้ารหัสแล้วอนุมัติในภายหลัง โทเค็นที่อนุมัติใหม่จะได้รับการเข้ารหัส
เก็บรักษากุญแจให้ปลอดภัย
อย่าลืมเก็บสำเนาคีย์สโตร์ที่เก็บ KEK ไว้ในที่ที่ปลอดภัย เราขอแนะนำให้ใช้กลไกที่ปลอดภัยของคุณเองในการบันทึกสำเนาของคีย์สโตร์ ตามคำแนะนำในเอกสารนี้ จะต้องมีการวางคีย์สโตร์ในผู้ประมวลผลข้อความและโหนดเซิร์ฟเวอร์การจัดการแต่ละโหนดที่ไฟล์การกำหนดค่าในเครื่องอ้างอิงถึงได้ แต่ก็ควรเก็บสำเนาของคีย์สโตร์ไว้ที่อื่นเพื่อเก็บรักษาและสำรองข้อมูล
กำลังเปิดใช้การเข้ารหัสคีย์
ทำตามขั้นตอนต่อไปนี้เพื่อเข้ารหัสคีย์ลับของผู้ใช้
ข้อกำหนดเบื้องต้น
คุณต้องปฏิบัติตามข้อกำหนดเหล่านี้ก่อนทำตามขั้นตอนในเอกสารฉบับนี้
- คุณต้องติดตั้งหรืออัปเกรดเป็น Apigee Edge สำหรับ Private Cloud เวอร์ชัน 4.50.00.10 ขึ้นไป
- คุณต้องเป็น Apigee Edge สำหรับผู้ดูแลระบบ Private Cloud
ขั้นตอนที่ 1: สร้างคีย์สโตร์
ทำตามขั้นตอนต่อไปนี้เพื่อสร้างคีย์สโตร์เพื่อเก็บคีย์การเข้ารหัสคีย์ (KEK)
- ใช้คำสั่งต่อไปนี้เพื่อสร้างคีย์สโตร์เพื่อจัดเก็บคีย์ที่จะใช้ในการเข้ารหัส KEK ป้อนคำสั่งให้ตรงตามที่แสดง (คุณระบุชื่อคีย์สโตร์ได้ตามต้องการ) ดังนี้
keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \ -keystore kekstore.p12 -storetype PKCS12
ป้อนรหัสผ่านเมื่อได้รับข้อความแจ้ง คุณจะใช้รหัสผ่านนี้ในส่วนต่อๆ ไปเมื่อกำหนดค่าเซิร์ฟเวอร์การจัดการและผู้ประมวลผลข้อความ
คำสั่งนี้จะสร้างไฟล์คีย์สโตร์ kekstore.p12 ที่มีคีย์ที่มีชื่อแทน KEYSTORE_NAME
- (ไม่บังคับ) ตรวจสอบว่าสร้างไฟล์อย่างถูกต้องด้วยคำสั่งต่อไปนี้ หากไฟล์ถูกต้อง คำสั่งจะแสดงคีย์ที่มีชื่อแทน KEYSTORE_NAME ดังนี้
keytool -list -keystore kekstore.p12
ขั้นตอนที่ 2: กำหนดค่าเซิร์ฟเวอร์การจัดการ
ถัดมา ให้กำหนดค่าเซิร์ฟเวอร์การจัดการ หากคุณมีเซิร์ฟเวอร์การจัดการติดตั้งบนหลายโหนด คุณต้องทำขั้นตอนเหล่านี้ซ้ำในแต่ละโหนด
- คัดลอกไฟล์คีย์สโตร์ที่คุณสร้างในขั้นตอนที่ 1 ไปยังไดเรกทอรีในโหนดเซิร์ฟเวอร์การจัดการ เช่น
/opt/apigee/customer/application
ตัวอย่างเช่นcp certs/kekstore.p12 /opt/apigee/customer/application
- ตรวจสอบว่าผู้ใช้
apigee
อ่านไฟล์ได้ ดังนี้chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
chmod 400 /opt/apigee/customer/application/kekstore.p12
- เพิ่มพร็อพเพอร์ตี้ต่อไปนี้ใน
/opt/apigee/customer/application/management-server.properties
หากไม่มีไฟล์ ให้สร้างขึ้นมา โปรดดูข้อมูลอ้างอิงไฟล์พร็อพเพอร์ตี้เพิ่มเติม
conf_keymanagement_kmscred.encryption.enabled=true # Fallback is true to ensure your existing plaintext credentials continue to work conf_keymanagement_kmscred.encryption.allowFallback=true conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME # These could alternately be set as environment variables. These variables should be # accessible to Apigee user during bootup of the Java process. If environment # variables are specified, you can skip the password configs below. # KMSCRED_ENCRYPTION_KEYSTORE_PASS= # KMSCRED_ENCRYPTION_KEK_PASS= See also Using environment variables for configuration properties. conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD
โปรดทราบว่า
KEK_PASSWORD
อาจเหมือนกับKEYSTORE_PASSWORD
ขึ้นอยู่กับเครื่องมือที่ใช้ในการสร้างคีย์สโตร์ - รีสตาร์ทเซิร์ฟเวอร์การจัดการโดยใช้คำสั่งต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready
คำสั่ง
wait_for_ready
จะแสดงผลข้อความต่อไปนี้เมื่อเซิร์ฟเวอร์การจัดการพร้อมแล้วChecking if management-server is up: management-server is up.
- หากคุณติดตั้งเซิร์ฟเวอร์การจัดการบนโหนดหลายรายการ ให้ทำขั้นตอนที่ 1-4 ด้านบนซ้ำในโหนดเซิร์ฟเวอร์การจัดการแต่ละโหนด
ขั้นตอนที่ 3: สร้างแอปนักพัฒนาซอฟต์แวร์
เมื่ออัปเดตเซิร์ฟเวอร์การจัดการแล้ว คุณต้องสร้างแอปสำหรับนักพัฒนาซอฟต์แวร์เพื่อทริกเกอร์การสร้างคีย์ที่ใช้ในการเข้ารหัสข้อมูลเข้าสู่ระบบไคลเอ็นต์ ดังนี้
- สร้างแอปนักพัฒนาซอฟต์แวร์เพื่อทริกเกอร์การสร้างคีย์การเข้ารหัสข้อมูล (KEK) สำหรับขั้นตอน โปรดดูที่การลงทะเบียนแอป
- ลบแอปนักพัฒนาซอฟต์แวร์หากต้องการ คุณไม่จำเป็นต้องเก็บไฟล์ไว้หลังจากสร้างคีย์การเข้ารหัสแล้ว
ขั้นตอนที่ 4: กำหนดค่าเครื่องมือประมวลผลข้อความ
คำขอรันไทม์จะประมวลผลข้อมูลเข้าสู่ระบบที่เข้ารหัสไม่ได้ จนกว่าจะเปิดใช้การเข้ารหัสในตัวประมวลผลข้อความ
- คัดลอกไฟล์คีย์สโตร์ที่คุณสร้างในขั้นตอนที่ 1 ไปยังไดเรกทอรีในโหนดตัวประมวลผลข้อความ เช่น
/opt/apigee/customer/application
ตัวอย่างเช่นcp certs/kekstore.p12 /opt/apigee/customer/application
- ตรวจสอบว่าผู้ใช้
apigee
อ่านไฟล์ได้ โดยทำดังนี้chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
- เพิ่มพร็อพเพอร์ตี้ต่อไปนี้ใน
/opt/apigee/customer/application/message-processor.properties
หากไม่มีไฟล์ ให้สร้างขึ้นมา โปรดดูข้อมูลอ้างอิงไฟล์พร็อพเพอร์ตี้เพิ่มเติมconf_keymanagement_kmscred.encryption.enabled=true # Fallback is true to ensure your existing plaintext credentials continue to work conf_keymanagement_kmscred.encryption.allowFallback=true conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME # These could alternately be set as environment variables. These variables should be # accessible to Apigee user during bootup of the Java process. If environment # variables are specified, you can skip the password configs below. # KMSCRED_ENCRYPTION_KEYSTORE_PASS= # KMSCRED_ENCRYPTION_KEK_PASS= See also Using environment variables for configuration properties. conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD
โปรดทราบว่า
KEK_PASSWORD
อาจเหมือนกับKEYSTORE_PASSWORD
ทั้งนี้ขึ้นอยู่กับเครื่องมือที่ใช้ในการสร้างคีย์สโตร์ - รีสตาร์ทตัวประมวลผลข้อความโดยใช้คำสั่งต่อไปนี้
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready
คำสั่ง
wait_for_ready
จะแสดงผลข้อความต่อไปนี้เมื่อตัวประมวลผลข้อความพร้อมที่จะประมวลผลข้อความChecking if message-processor is up: message-processor is up.
- หากคุณติดตั้งตัวประมวลผลข้อความบนโหนดหลายรายการ ให้ทำซ้ำขั้นตอนที่ 1-4 ในโหนดตัวประมวลผลข้อความแต่ละโหนด
สรุป
แอปนักพัฒนาซอฟต์แวร์ที่คุณสร้างขึ้นจากนี้ไปจะได้รับการเข้ารหัสข้อมูลลับสำหรับเข้าสู่ระบบเมื่อไม่ได้ใช้งานในฐานข้อมูล Cassandra
การใช้ตัวแปรสภาพแวดล้อมสำหรับพร็อพเพอร์ตี้การกำหนดค่า
คุณสามารถตั้งค่าพร็อพเพอร์ตี้การกำหนดค่าตัวประมวลผลข้อความและเซิร์ฟเวอร์การจัดการต่อไปนี้โดยใช้ตัวแปรสภาพแวดล้อมได้ด้วย หากมีการตั้งค่า ตัวแปรสภาพแวดล้อมจะลบล้างพร็อพเพอร์ตี้ที่ตั้งค่าไว้ในไฟล์ประมวลผลข้อความหรือไฟล์การกำหนดค่าเซิร์ฟเวอร์การจัดการ
conf_keymanagement_kmscred.encryption.keystore.pass= conf_keymanagement_kmscred.encryption.kek.pass=
ตัวแปรสภาพแวดล้อมที่เกี่ยวข้องมีดังนี้
export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD
หากตั้งค่าตัวแปรสภาพแวดล้อมเหล่านี้ คุณจะละเว้นพร็อพเพอร์ตี้การกำหนดค่าเหล่านี้จากไฟล์การกำหนดค่าในระบบประมวลผลข้อความและโหนดเซิร์ฟเวอร์การจัดการได้ เนื่องจากระบบจะไม่สนใจพร็อพเพอร์ตี้การกำหนดค่าเหล่านี้
conf_keymanagement_kmscred.encryption.keystore.pass conf_keymanagement_kmscred.encryption.kek.pass
การอ้างอิงไฟล์คุณสมบัติ
ส่วนนี้จะอธิบายถึงพร็อพเพอร์ตี้การกำหนดค่าที่คุณต้องตั้งค่าในระบบประมวลผลข้อความและโหนดเซิร์ฟเวอร์การจัดการทั้งหมด ตามที่อธิบายไว้ก่อนหน้านี้ในเอกสารนี้
พร็อพเพอร์ตี้ | ค่าเริ่มต้น | คำอธิบาย |
conf_keymanagement_kmscred.encryption.enabled
|
false
|
ต้องเป็น true เพื่อเปิดใช้การเข้ารหัสคีย์
|
conf_keymanagement_kmscred.encryption.allowFallback
|
false
|
ตั้งค่า AllowFallback เป็น true เพื่อให้ข้อมูลเข้าสู่ระบบแบบข้อความธรรมดาที่มีอยู่ทำงานต่อไปได้
|
conf_keymanagement_kmscred.encryption.keystore.path
|
ไม่มีข้อมูล | ระบุเส้นทางไปยังแหล่งเก็บคีย์ KEK บนผู้ประมวลผลข้อความหรือโหนดเซิร์ฟเวอร์การจัดการ โปรดดูขั้นตอนที่ 2: กำหนดค่าเซิร์ฟเวอร์การจัดการและขั้นตอนที่ 3: กำหนดค่าตัวประมวลผลข้อความ |
conf_keymanagement_kmscred.encryption.kek.alias
|
ไม่มีข้อมูล | ชื่อแทนที่ใช้เก็บ KEK ในคีย์สโตร์ |
conf_keymanagement_kmscred.encryption.keystore.pass
|
ไม่มีข้อมูล | ไม่บังคับหากคุณใช้ตัวแปรสภาพแวดล้อมเพื่อตั้งค่าพร็อพเพอร์ตี้เหล่านี้ ดูการใช้ตัวแปรสภาพแวดล้อมสำหรับพร็อพเพอร์ตี้การกำหนดค่าเพิ่มเติม |
conf_keymanagement_kmscred.encryption.kek.pass
|
ไม่มีข้อมูล | ไม่บังคับหากคุณใช้ตัวแปรสภาพแวดล้อมเพื่อตั้งค่าพร็อพเพอร์ตี้เหล่านี้ ดูการใช้ตัวแปรสภาพแวดล้อมสำหรับพร็อพเพอร์ตี้การกำหนดค่าเพิ่มเติม |