Como ativar a criptografia de chaves secretas

Este documento explica como ativar a criptografia segredos do consumidor do app de desenvolvedor (credenciais do cliente) armazenados no banco de dados do Cassandra.

Visão geral

Tradicionalmente, o Apigee Edge para nuvem privada oferece criptografia opcional para o mapa de chave-valor (KVM) e tokens de acesso OAuth.

A tabela a seguir descreve as opções de criptografia para dados em repouso no Apigee para nuvem privada:

Entidade Criptografia ativada por padrão Criptografia disponível como opção Documentação relacionada
KVMs Não Sim Consulte Sobre KVMs criptografadas.
Tokens de acesso OAuth Não Sim Consulte Tokens de hash para segurança extra.
Secrets de consumo de apps do desenvolvedor Não Sim Para ativar, siga as etapas de configuração deste documento.

Para ativar a criptografia das credenciais do cliente, você precisa executar as seguintes tarefas na todos os nós do processador de mensagens e do servidor de gerenciamento:

  • Criar um keystore para armazenar um Chave de criptografia de chaves (KEK). A Apigee usa essa chave criptografada para criptografar as chaves secretas necessárias para criptografar seus dados.
  • Edite as propriedades da configuração em todos os nós do servidor de gerenciamento e do processador de mensagens.
  • Crie um app de desenvolvedor para acionar a criação de chaves.
  • Reinicie os nós.

Essas tarefas são explicadas neste documento.

O que você precisa saber sobre a chave recurso de criptografia

Nas etapas deste documento, explicamos como ativar o recurso KEK, que permite que a Apigee criptografe as chaves secretas usadas para criptografar o app do desenvolvedor segredos do cliente quando são armazenados em repouso no banco de dados do Cassandra.

Por padrão, os valores existentes no banco de dados permanecerão inalterados (em texto simples) e serão continuam funcionando como antes.

Se você executar qualquer operação de gravação em uma entidade não criptografada, ela será criptografada quando o operação é salva. Por exemplo, se você revogar um token não criptografado e depois aprovar o token recém-aprovado será criptografado.

Como proteger as chaves

Armazene uma cópia do keystore em que a KEK está armazenada em um local seguro. Recomendamos usar seu próprio mecanismo seguro para salvar uma cópia do keystore. Conforme explicado nas instruções deste documento, um keystore deve ser colocado em cada nó de processador de mensagens e de servidor de gerenciamento do arquivo de configuração do Terraform. Mas também é importante armazenar uma cópia do keystore em outro lugar para proteção e como backup.

Como ativar a criptografia de chaves

Siga estas etapas para realizar a criptografia de chaves secretas do cliente:

Pré-requisitos

Você precisa atender a estes requisitos antes de executar as etapas deste documento:

  • É necessário instalar ou fazer upgrade para o Apigee Edge para nuvem privada 4.50.00.10 ou posterior.
  • Você precisa ser um administrador do Apigee Edge para nuvem privada.

Etapa 1: gerar um keystore

Siga estas etapas para criar um keystore que armazenará a chave de criptografia de chaves (KEK, na sigla em inglês):

  1. Execute o comando a seguir para gerar um keystore e armazenar uma chave que será usada para criptografar a KEK. Digite o comando exatamente como mostrado. (Você pode fornecer o nome de qualquer keystore que quiser):
    keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
    -keystore kekstore.p12 -storetype PKCS12

    Quando solicitado, insira uma senha. Você vai usar essa senha em outras seções, quando precisar configura o servidor de gerenciamento e o processador de mensagens.

    Esse comando gera um arquivo de keystore kekstore.p12 que contém uma chave com alias KEYSTORE_NAME.

  2. (Opcional) Verifique se o arquivo foi gerado corretamente com o comando a seguir. Se o arquivo estiver correto, o comando retornará uma chave com o alias KEYSTORE_NAME:
    keytool -list -keystore kekstore.p12

Etapa 2: configurar o servidor de gerenciamento

Em seguida, configure o servidor de gerenciamento. Se você tiver servidores de gerenciamento instalados em vários nós, repita essas etapas em cada nó.

  1. Copie o arquivo do keystore gerado na Etapa 1 em um diretório no nó do servidor de gerenciamento, como /opt/apigee/customer/application. Exemplo:
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. Verifique se o arquivo pode ser lido pelo usuário apigee:
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
    chmod 400 /opt/apigee/customer/application/kekstore.p12
  3. Adicione as propriedades abaixo a /opt/apigee/customer/application/management-server.properties. Crie o arquivo se ele não existir. Consulte também Referência do arquivo de propriedade.
    conf_keymanagement_kmscred.encryption.enabled=true
    
    # Fallback is true to ensure your existing plaintext credentials continue to work
    conf_keymanagement_kmscred.encryption.allowFallback=true
    
    conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
    conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME
    
    # These could alternately be set as environment variables. These variables should be
    # accessible to Apigee user during bootup of the Java process. If environment
    # variables are specified, you can skip the password configs below.
    # KMSCRED_ENCRYPTION_KEYSTORE_PASS=
    # KMSCRED_ENCRYPTION_KEK_PASS=
    See also Using environment variables for configuration properties.
    
    conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
    conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    O KEK_PASSWORD pode ser igual ao KEYSTORE_PASSWORD, dependendo da ferramenta usada para gerar o keystore.

  4. Reinicie o servidor de gerenciamento usando os seguintes comandos:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

    O comando wait_for_ready retorna a seguinte mensagem quando o servidor de gerenciamento está pronto:

    Checking if management-server is up: management-server is up.
    
  5. Se você tiver servidores de gerenciamento instalados em vários nós, repita as etapas 1 a 4 acima em cada gerenciamento. nó de servidor.

Etapa 3: criar um app de desenvolvedor

Agora que os servidores de gerenciamento estão atualizados, você precisa criar um app de desenvolvedor para acionar a geração da chave usada para criptografar os dados das credenciais do cliente:

  1. Crie um app para desenvolvedores para acionar a criação de uma chave de criptografia de dados (KEK). Para conferir as etapas, consulte Como registrar um app.
  2. Exclua o app do desenvolvedor, se quiser. Você não precisa ficar com ele depois que a criptografia é gerada.

Etapa 4: configurar os processadores de mensagens

Até que a criptografia seja ativada nos processadores de mensagens, as solicitações de execução não poderão processar credenciais criptografadas.

  1. Copie o arquivo de keystore gerado na etapa 1 para um diretório no nó do processador de mensagens, como /opt/apigee/customer/application. Exemplo:
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. Verifique se o arquivo pode ser lido pelo usuário apigee:
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
  3. Adicione as propriedades abaixo a /opt/apigee/customer/application/message-processor.properties. Crie o arquivo se ele não existir. Consulte também Referência do arquivo de propriedade.
    conf_keymanagement_kmscred.encryption.enabled=true
    
    # Fallback is true to ensure your existing plaintext credentials continue to work
    conf_keymanagement_kmscred.encryption.allowFallback=true
    
    conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
    conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME
    
    # These could alternately be set as environment variables. These variables should be
    # accessible to Apigee user during bootup of the Java process. If environment
    # variables are specified, you can skip the password configs below.
    # KMSCRED_ENCRYPTION_KEYSTORE_PASS=
    # KMSCRED_ENCRYPTION_KEK_PASS=
    See also Using environment variables for configuration properties.
    
    
    conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
    conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    O KEK_PASSWORD pode ser igual ao KEYSTORE_PASSWORD. dependendo da ferramenta usada para gerar o keystore.

  4. Reinicie o processador de mensagens usando os seguintes comandos:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

    O comando wait_for_ready retorna a seguinte mensagem quando o processador de mensagens está pronto para processar mensagens:

    Checking if message-processor is up: message-processor is up.
  5. Se você tiver processadores de mensagens instalados em vários nós, repita as etapas 1 a 4 em cada um deles. processador de mensagens do nó.

Resumo

Todos os aplicativos de desenvolvedor que você criar a partir de agora terão as chaves secretas das credenciais criptografadas em no banco de dados do Cassandra.

Usar variáveis de ambiente para propriedades de configuração

Também é possível definir as seguintes configurações do processador de mensagens e do servidor de gerenciamento usando variáveis de ambiente. Se definidas, as variáveis de ambiente substituem as propriedades definidas no arquivo de configuração do processador de mensagens ou do servidor de gerenciamento.

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

As variáveis de ambiente correspondentes são:

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

Se você definir essas variáveis de ambiente, poderá omitir essas propriedades de configuração do arquivos de configuração nos nós do processador de mensagens e do servidor de gerenciamento, já que eles serão ignorados:

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

Referência do arquivo de propriedade

Esta seção descreve as propriedades de configuração que você precisa definir em todos os processadores de mensagens e nós do servidor de gerenciamento, conforme explicado anteriormente neste documento.

Propriedade Padrão Descrição
conf_keymanagement_kmscred.encryption.enabled false Precisa ser true para ativar a criptografia de chaves.
conf_keymanagement_kmscred.encryption.allowFallback false Defina allowFallback como true para garantir que suas credenciais de texto simples continuem funcionando.
conf_keymanagement_kmscred.encryption.keystore.path N/A Informe o caminho para o keystore KEK no nó do processador de mensagens ou do servidor de gerenciamento. Consulte a Etapa 2: configurar o gerenciamento de mensagens e Etapa 3: configurar processadores de mensagens.
conf_keymanagement_kmscred.encryption.kek.alias N/A Alias em que a KEK é armazenada no keystore.
conf_keymanagement_kmscred.encryption.keystore.pass N/A Opcional se você usar variáveis de ambiente para definir essas propriedades. Consulte também Como usar o ambiente variáveis para propriedades de configuração.
conf_keymanagement_kmscred.encryption.kek.pass N/A Opcional se você usar variáveis de ambiente para definir essas propriedades. Consulte também Como usar variáveis de ambiente para propriedades de configuração.