Este documento explica como ativar a criptografia segredos do consumidor do app de desenvolvedor (credenciais do cliente) armazenados no banco de dados do Cassandra.
Visão geral
Tradicionalmente, o Apigee Edge para nuvem privada oferece criptografia opcional para o mapa de chave-valor (KVM) e tokens de acesso OAuth.
A tabela a seguir descreve as opções de criptografia para dados em repouso no Apigee para nuvem privada:
Entidade | Criptografia ativada por padrão | Criptografia disponível como opção | Documentação relacionada |
KVMs | Não | Sim | Consulte Sobre KVMs criptografadas. |
Tokens de acesso OAuth | Não | Sim | Consulte Tokens de hash para segurança extra. |
Secrets de consumo de apps do desenvolvedor | Não | Sim | Para ativar, siga as etapas de configuração deste documento. |
Para ativar a criptografia das credenciais do cliente, você precisa executar as seguintes tarefas na todos os nós do processador de mensagens e do servidor de gerenciamento:
- Criar um keystore para armazenar um Chave de criptografia de chaves (KEK). A Apigee usa essa chave criptografada para criptografar as chaves secretas necessárias para criptografar seus dados.
- Edite as propriedades da configuração em todos os nós do servidor de gerenciamento e do processador de mensagens.
- Crie um app de desenvolvedor para acionar a criação de chaves.
- Reinicie os nós.
Essas tarefas são explicadas neste documento.
O que você precisa saber sobre a chave recurso de criptografia
Nas etapas deste documento, explicamos como ativar o recurso KEK, que permite que a Apigee criptografe as chaves secretas usadas para criptografar o app do desenvolvedor segredos do cliente quando são armazenados em repouso no banco de dados do Cassandra.
Por padrão, os valores existentes no banco de dados permanecerão inalterados (em texto simples) e serão continuam funcionando como antes.
Se você executar qualquer operação de gravação em uma entidade não criptografada, ela será criptografada quando o operação é salva. Por exemplo, se você revogar um token não criptografado e depois aprovar o token recém-aprovado será criptografado.
Como proteger as chaves
Armazene uma cópia do keystore em que a KEK está armazenada em um local seguro. Recomendamos usar seu próprio mecanismo seguro para salvar uma cópia do keystore. Conforme explicado nas instruções deste documento, um keystore deve ser colocado em cada nó de processador de mensagens e de servidor de gerenciamento do arquivo de configuração do Terraform. Mas também é importante armazenar uma cópia do keystore em outro lugar para proteção e como backup.
Como ativar a criptografia de chaves
Siga estas etapas para realizar a criptografia de chaves secretas do cliente:
Pré-requisitos
Você precisa atender a estes requisitos antes de executar as etapas deste documento:
- É necessário instalar ou fazer upgrade para o Apigee Edge para nuvem privada 4.50.00.10 ou posterior.
- Você precisa ser um administrador do Apigee Edge para nuvem privada.
Etapa 1: gerar um keystore
Siga estas etapas para criar um keystore que armazenará a chave de criptografia de chaves (KEK, na sigla em inglês):
- Execute o comando a seguir para gerar um keystore e armazenar uma chave que será usada para
criptografar a KEK. Digite o comando exatamente como mostrado. (Você pode fornecer o nome de qualquer keystore que quiser):
keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \ -keystore kekstore.p12 -storetype PKCS12
Quando solicitado, insira uma senha. Você vai usar essa senha em outras seções, quando precisar configura o servidor de gerenciamento e o processador de mensagens.
Esse comando gera um arquivo de keystore kekstore.p12 que contém uma chave com alias KEYSTORE_NAME.
- (Opcional) Verifique se o arquivo foi gerado corretamente com o comando a seguir. Se o arquivo
estiver correto, o comando retornará uma chave com o alias KEYSTORE_NAME:
keytool -list -keystore kekstore.p12
Etapa 2: configurar o servidor de gerenciamento
Em seguida, configure o servidor de gerenciamento. Se você tiver servidores de gerenciamento instalados em vários nós, repita essas etapas em cada nó.
- Copie o arquivo do keystore gerado na Etapa 1 em um diretório no nó do servidor de gerenciamento, como
/opt/apigee/customer/application
. Exemplo:cp certs/kekstore.p12 /opt/apigee/customer/application
- Verifique se o arquivo pode ser lido pelo usuário
apigee
:chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
chmod 400 /opt/apigee/customer/application/kekstore.p12
- Adicione as propriedades abaixo a
/opt/apigee/customer/application/management-server.properties
. Crie o arquivo se ele não existir. Consulte também Referência do arquivo de propriedade.
conf_keymanagement_kmscred.encryption.enabled=true # Fallback is true to ensure your existing plaintext credentials continue to work conf_keymanagement_kmscred.encryption.allowFallback=true conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME # These could alternately be set as environment variables. These variables should be # accessible to Apigee user during bootup of the Java process. If environment # variables are specified, you can skip the password configs below. # KMSCRED_ENCRYPTION_KEYSTORE_PASS= # KMSCRED_ENCRYPTION_KEK_PASS= See also Using environment variables for configuration properties. conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD
O
KEK_PASSWORD
pode ser igual aoKEYSTORE_PASSWORD
, dependendo da ferramenta usada para gerar o keystore. - Reinicie o servidor de gerenciamento usando os seguintes comandos:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready
O comando
wait_for_ready
retorna a seguinte mensagem quando o servidor de gerenciamento está pronto:Checking if management-server is up: management-server is up.
- Se você tiver servidores de gerenciamento instalados em vários nós, repita as etapas 1 a 4 acima em cada gerenciamento. nó de servidor.
Etapa 3: criar um app de desenvolvedor
Agora que os servidores de gerenciamento estão atualizados, você precisa criar um app de desenvolvedor para acionar a geração da chave usada para criptografar os dados das credenciais do cliente:
- Crie um app para desenvolvedores para acionar a criação de uma chave de criptografia de dados (KEK). Para conferir as etapas, consulte Como registrar um app.
- Exclua o app do desenvolvedor, se quiser. Você não precisa ficar com ele depois que a criptografia é gerada.
Etapa 4: configurar os processadores de mensagens
Até que a criptografia seja ativada nos processadores de mensagens, as solicitações de execução não poderão processar credenciais criptografadas.
- Copie o arquivo de keystore gerado na etapa 1 para um diretório no nó do processador de mensagens,
como
/opt/apigee/customer/application
. Exemplo:cp certs/kekstore.p12 /opt/apigee/customer/application
- Verifique se o arquivo pode ser lido pelo usuário
apigee
:chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
- Adicione as propriedades abaixo a
/opt/apigee/customer/application/message-processor.properties
. Crie o arquivo se ele não existir. Consulte também Referência do arquivo de propriedade.conf_keymanagement_kmscred.encryption.enabled=true # Fallback is true to ensure your existing plaintext credentials continue to work conf_keymanagement_kmscred.encryption.allowFallback=true conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME # These could alternately be set as environment variables. These variables should be # accessible to Apigee user during bootup of the Java process. If environment # variables are specified, you can skip the password configs below. # KMSCRED_ENCRYPTION_KEYSTORE_PASS= # KMSCRED_ENCRYPTION_KEK_PASS= See also Using environment variables for configuration properties. conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD
O
KEK_PASSWORD
pode ser igual aoKEYSTORE_PASSWORD
. dependendo da ferramenta usada para gerar o keystore. - Reinicie o processador de mensagens usando os seguintes comandos:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready
O comando
wait_for_ready
retorna a seguinte mensagem quando o processador de mensagens está pronto para processar mensagens:Checking if message-processor is up: message-processor is up.
- Se você tiver processadores de mensagens instalados em vários nós, repita as etapas 1 a 4 em cada um deles. processador de mensagens do nó.
Resumo
Todos os aplicativos de desenvolvedor que você criar a partir de agora terão as chaves secretas das credenciais criptografadas em no banco de dados do Cassandra.
Usar variáveis de ambiente para propriedades de configuração
Também é possível definir as seguintes configurações do processador de mensagens e do servidor de gerenciamento usando variáveis de ambiente. Se definidas, as variáveis de ambiente substituem as propriedades definidas no arquivo de configuração do processador de mensagens ou do servidor de gerenciamento.
conf_keymanagement_kmscred.encryption.keystore.pass= conf_keymanagement_kmscred.encryption.kek.pass=
As variáveis de ambiente correspondentes são:
export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD
Se você definir essas variáveis de ambiente, poderá omitir essas propriedades de configuração do arquivos de configuração nos nós do processador de mensagens e do servidor de gerenciamento, já que eles serão ignorados:
conf_keymanagement_kmscred.encryption.keystore.pass conf_keymanagement_kmscred.encryption.kek.pass
Referência do arquivo de propriedade
Esta seção descreve as propriedades de configuração que você precisa definir em todos os processadores de mensagens e nós do servidor de gerenciamento, conforme explicado anteriormente neste documento.
Propriedade | Padrão | Descrição |
conf_keymanagement_kmscred.encryption.enabled
|
false
|
Precisa ser true para ativar a criptografia de chaves.
|
conf_keymanagement_kmscred.encryption.allowFallback
|
false
|
Defina allowFallback como true para garantir que suas credenciais de texto simples continuem funcionando.
|
conf_keymanagement_kmscred.encryption.keystore.path
|
N/A | Informe o caminho para o keystore KEK no nó do processador de mensagens ou do servidor de gerenciamento. Consulte a Etapa 2: configurar o gerenciamento de mensagens e Etapa 3: configurar processadores de mensagens. |
conf_keymanagement_kmscred.encryption.kek.alias
|
N/A | Alias em que a KEK é armazenada no keystore. |
conf_keymanagement_kmscred.encryption.keystore.pass
|
N/A | Opcional se você usar variáveis de ambiente para definir essas propriedades. Consulte também Como usar o ambiente variáveis para propriedades de configuração. |
conf_keymanagement_kmscred.encryption.kek.pass
|
N/A | Opcional se você usar variáveis de ambiente para definir essas propriedades. Consulte também Como usar variáveis de ambiente para propriedades de configuração. |