Encriptado de datos

De forma predeterminada, los siguientes datos se almacenan encriptados en el plano de ejecución híbrido:

  • Datos de caché
  • Datos clave del contrato
  • Datos del sistema de gestión de claves (KMS)
  • Datos de mapa de pares clave-valor (KVM)

El cifrado de datos no requiere ninguna configuración especial por su parte. Sin embargo, si por algún motivo quieres usar tus propias claves de cifrado (en lugar de las predeterminadas), puedes hacerlo, tal como se explica en este tema.

Ámbito de la clave de cifrado

Las claves de cifrado de Apigee hybrid tienen un ámbito. Por ejemplo, las claves de KMS tienen un ámbito de organización. Esto significa que la clave se usa para cifrar los datos de KMS de toda la organización. En la siguiente tabla se muestra el ámbito de cada tipo de clave:

Clave de encriptado Ámbito
Contrato Solo la organización
KMS Solo la organización
KVM Organización o entorno

Si una política de KVM especifica el ámbito apiproxy o policy (revisión del proxy de API), se usa la clave a nivel de organización para cifrar los datos. Para obtener una descripción general de cómo se usan los KVMs en Apigee Edge, consulta el artículo Trabajar con mapas de pares clave-valor.
Caché Solo entorno

Acerca de las claves de cifrado predeterminadas

De forma predeterminada, Apigee Hybrid proporciona un conjunto de claves codificadas en Base64 que se usan para cifrar datos de contratos, KVM, KMS y caché. El instalador híbrido de Apigee almacena las claves en el plano de ejecución como secretos de Kubernetes y las usa para cifrar tus datos con el cifrado estándar AES-128. Las claves están bajo tu control y el plano de gestión híbrido nunca las conoce.

Las claves predeterminadas se aplican a todos los componentes nuevos de Apigee hybrid cuando los creas.

Cambiar las claves de cifrado predeterminadas

Aunque no es obligatorio, puedes cambiar cualquiera de las claves de cifrado predeterminadas si quieres. Para sustituir una o varias claves predeterminadas, sigue estos pasos:

  1. Copia las siguientes estrofas en tu archivo de anulaciones. Esta configuración le permite cambiar las claves de cifrado de KMS y KVM a nivel de organización, así como las claves de cifrado de KVM y de caché a nivel de entorno: 
    defaults:
  org:
    kmsEncryptionKey: base64-encoded-key
    kvmEncryptionKey: base64-encoded-key
    contractEncryptionKey: base64-encoded-key

  env:
    kvmEncryptionKey: base64-encoded-key
    cacheEncryptionKey: base64-encoded-key
  2. Genera una clave nueva por cada clave que quieras sustituir. Cada clave debe ser una cadena codificada en Base64 que tenga exactamente 16, 24 o 32 bytes. Consulta también Cómo crear una clave codificada.
  3. Sustituye las teclas predeterminadas por otras nuevas. En este ejemplo, todas las claves predeterminadas se sustituyen por las siguientes: 
    defaults:
  org:
    kmsEncryptionKey: "JVpTb1FwI0otUHo2RUdRN3pnVyQqVGlMSEFAJXYmb1c="
    kvmEncryptionKey: "T3VkRGM1U3cpOFgtNk9fMnNZU2NaSVA3I1BtZWxkaUU="
    contractEncryptionKey: "RDEyMzQ1Njc4OTAxMjM0NQ=="
  env:
    kvmEncryptionKey: "Q3h6M3R6OWdBeipxTURfKjQwQVdtTng2dU5mODFHcyE="
    cacheEncryptionKey: "b2NTVXdKKjBzN0NORF9XSm9tWFlYKGJ6NUhpNystJVI="

Anular las teclas predeterminadas

Puedes anular las claves de la organización o de entornos específicos que se hayan indicado en el archivo de anulaciones. Cuando crees los componentes, las claves que especifiques para la organización o los entornos individuales anularán los valores predeterminados.

  1. Copia las siguientes estrofas en tu archivo de anulaciones. Esta configuración le permite cambiar las claves de cifrado de KMS y KVM a nivel de organización, así como las claves de cifrado de KVM y de caché a nivel de entorno: 
    org:YOUR_ORG_NAME

kmsEncryptionKey: base64-encoded-key
kvmEncryptionKey: base64-encoded-key
contractEncryptionKey: base64-encoded-key

envs
  - name: ENV_NAME
    kvmEncryptionKey: base64-encoded-key
    kmsEncryptionKey: base64-encoded-key
    cacheEncryptionKey: base64-encoded-key

  - name: 2ND_ENV_NAME
    kvmEncryptionKey: base64-encoded-key
    kmsEncryptionKey: base64-encoded-key
    cacheEncryptionKey: base64-encoded-key
  2. Genera una clave nueva para cada clave que quieras anular. Cada clave debe ser una cadena codificada en Base64 que tenga exactamente 16, 24 o 32 bytes. Consulta también Cómo crear una clave codificada.
  3. Especifica las teclas que quieras sustituir. En este ejemplo, todas las claves predeterminadas se sustituyen por las siguientes: 
    org:hybrid-org

kmsEncryptionKey: "QTEyMz1b2jc4OTAxMjM0NQ=="
kvmEncryptionKey: "QzEyM2c3Njc4OTAxMjM0NQ=="
contractEncryptionKey: "RDEyMzQ1Njc4OTAxMjM0NQ=="

envs:
  - name: prod
    kvmEncryptionKey: "QzEyM2c3Njc4OTAxMjM0NQ=="
    kmsEncryptionKey: "QTEyMz1b2jc4OTAxMjM0NQ=="
    cacheEncryptionKey: "QjEyAvC1Njc4OTAxMjM0NQ=="

envs:
  - name: test
    kvmEncryptionKey: "A1b2C3d4E5f6G7h8I9j10K=="
    kmsEncryptionKey: "QTEyMz1b2jc4OTAxMjM0NQ=="
    cacheEncryptionKey: "B1c2D3e4F5f6H7i8J9k10L=="

Aplica los cambios clave

Aplica el archivo de anulaciones a tu clúster con los siguientes comandos de Helm:
  • Si cambia la clave de contrato o la clave de KVM de la organización, actualice la organización: 
    helm upgrade ORG_NAME apigee-org/ \
  --namespace apigee \
  --atomic \
  -f OVERRIDES_FILE.yaml
  • Si cambia la clave de caché o la clave de KVM de un entorno, actualice el entorno: 
    helm upgrade ENV_NAME apigee-env/ \
  --namespace apigee \
  --atomic \
  --set env=ENV_NAME \
  -f OVERRIDES_FILE.yaml
  • Si cambias la clave de KMS, actualiza tanto la organización como el entorno: 
    helm upgrade ORG_NAME apigee-org/ \
  --namespace apigee \
  --atomic \
  -f OVERRIDES_FILE.yaml

    helm upgrade ENV_NAME apigee-env/ \
  --namespace apigee \
  --set env=ENV_NAME \
  --atomic \
  -f OVERRIDES_FILE.yaml

Nota sobre la retrocompatibilidad

Si quitas las claves de cifrado del archivo de anulaciones la primera vez que instales Apigee Hybrid, inhabilitarás el cifrado y los valores se almacenarán sin cifrar. Si más adelante habilitas el cifrado proporcionando claves, los datos que ya estén en el sistema seguirán sin cifrar, pero los que se añadan a partir de ese momento sí se cifrarán. El sistema seguirá funcionando con normalidad con los datos sin cifrar y los nuevos datos cifrados.

Además, ten en cuenta que no podrás cambiar las claves de cifrado una vez que se hayan cifrado los datos del tiempo de ejecución.

Cómo crear una clave codificada

Se necesita una clave codificada en Base64 con el formato adecuado para el cifrado de KVM, KMS y caché. La clave que se utilice para cualquiera de estos fines debe estar codificada en Base64 a partir de una cadena de 16, 24 o 32 bytes, tal como se explica a continuación:

El siguiente comando de ejemplo genera una cadena de 32 caracteres adecuada, generada de forma aleatoria y codificada en Base64: 

head -c 32 /dev/random | openssl base64