Panoramica sulla crittografia
Cloud privato virtuale Infrastruttura classica
Proteggi le informazioni sensibili nel tuo IBM Cloud® Kubernetes Service cluster per garantire l'integrità dei dati e impedire che i tuoi dati vengano esposti a utenti non autorizzati configurando un fornitore di servizi di gestione delle chiavi (KMS).
IBM Cloud Kubernetes Service offre la crittografia a diversi livelli nel tuo cluster. La crittografia di alcuni componenti è gestita da IBM, mentre per altri componenti è possibile inserire le credenziali del proprio provider KMS per gestire autonomamente la crittografia.
Una volta terminata questa pagina, prova il quiz.
La tabella seguente descrive le opzioni di crittografia per IBM Cloud Kubernetes Service cluster.
| Componente | Crittografato per impostazione predefinita? | Portare il proprio supporto per le chiavi? | Tempo di abilitazione | Provider KMS supportati | Supporto per account incrociati? |
|---|---|---|---|---|---|
| Piano di controllo | Sì | No | Durante la creazione del cluster. | IBM gestito Key Protect | N/D |
| Dischi del nodo di lavoro | Sì | Sì | Durante la creazione del cluster o del pool di lavoro. |
|
Sì |
| Segreti cluster | No | Sì | Dopo la creazione del cluster utilizzando kms enable. |
|
Cross account supportato solo per cluster Classic e VPC. |
| Archiviazione persistente | Dipende dal provider di storage. | Dipende dal provider | Dopo la creazione del cluster, quando si imposta l'archiviazione. |
|
Dipende dal provider di storage. |
| Traffico tra nodi di lavoro | No | No | Dopo la creazione del raggruppamento. | N/D | No |
Piano di controllo
La crittografia del piano di controllo è gestita da IBM.
- I componenti nel master Kubernetes si avviano su un'unità codificata LUKS utilizzando una chiave gestita da IBM.
- Il componente etcd del master memorizza i file di configurazione delle risorse Kubernetes, come le distribuzioni e i segreti.
- I dati in etcd sono archiviati sul disco locale del master Kubernetes e ne viene eseguito il backup su IBM Cloud Object Storage.
- I dati vengono crittografati durante il transito su IBM Cloud Object Storage e quando inattivi.
Dischi nodo di lavoro
I dischi collegati vengono utilizzati per avviare il tuo nodo di lavoro, ospitare il file system del contenitore e memorizzare le immagini estratte localmente. La codifica e il numero di dischi variano in funzione del provider di infrastrutture.
- nodi di lavoro VPC
- Per impostazione predefinita, il disco primario dei nodi di lavoro VPC è AES-256 bit crittografato a riposo dal provider dell'infrastruttura VPC sottostante. È possibile gestire la crittografia dei nodi worker abilitando un provider KMS a livello di pool worker. Per ulteriori informazioni, sulla crittografia dei dischi del nodo di lavoro VPC, vedi Configurazione della crittografia del disco del nodo di lavoro per i cluster VPC.
- Nodi di lavoro classici
- Il disco primario ha le immagini kernel per avviare il tuo nodo di lavoro. Questo disco non è codificato. Il disco secondario contiene il file system del contenitore e le immagini estratte localmente. Questo disco è crittografato AES a 256 bit con una chiave di crittografia LUKS gestita da IBM, unica per il nodo worker e memorizzata come segreto Kubernetes nel cluster. Quando ricarichi o aggiorni i tuoi nodi di lavoro, le chiavi LUKS vengono ruotate.
Segreti cluster
I segreti Kubernetes sono codificati base64 per impostazione predefinita. Puoi proteggere ulteriormente i segreti Kubernetes e le credenziali archiviate nei segreti abilitando un provider KMS (Key Management Service), come IBM® Key Protect for IBM Cloud® o Hyper Protect Crypto Services.
Quando si abilita un provider KMS (key management service) per il cluster, si porta la propria chiave root. La chiave root viene utilizzata per crittografare le chiavi di crittografia dei dati (DEK) che vengono quindi utilizzate per crittografare i segreti nel tuo cluster. La chiave principale è memorizzata nell'istanza del provider KMS controllata dall'utente. Le DEK codificate sono archiviate in etcd e possono essere decodificate solo utilizzando la chiave root dal provider KMS. Per ulteriori informazioni su come funziona la crittografia delle chiavi, vedi Crittografia envelope.
Esamina le seguenti note sulla crittografia del segreto del cluster.
- I segreti cluster vengono crittografati utilizzando il tuo KMS.
- I segreti cluster vengono aggiornati automaticamente dopo la rotazione delle chiavi root.
- I cluster che utilizzano la chiave root sono visualizzabili dall'interfaccia del provider KMS.
- I cluster rispondono automaticamente se si disabilitano, abilitano o ripristinano le chiavi root.
- La disabilitazione di una chiave root limita la funzione del cluster fino a quando non si riabilita la chiave.
- L'eliminazione di una chiave root rende il cluster inutilizzabile e irrecuperabile.
- Puoi avere un solo provider KMS e una chiave abilitati nel cluster alla volta.
- È possibile cambiare il provider e la chiave KMS.
- Non è possibile disattivare la crittografia del provider KMS.
Per impostare la crittografia segreta del cluster, vedere Configurazione della crittografia segreta del cluster.
Archiviazione persistente
A seconda del tipo di memoria persistente che si utilizza, è possibile codificare i dati scritti nei volumi di archiviazione abilitando un provider KMS. Per ulteriori informazioni sui tipi di crittografia e archiviazione persistente disponibili, vedi Descrizione delle tue opzioni di archiviazione.
Traffico da lavoratore a lavoratore
Puoi impostare la crittografia per il flusso di dati tra i nodi di lavoro nel tuo cluster utilizzando WireGuard. Per ulteriori informazioni, vedi Encrypting worker - to - worker traffic with WireGuard.
Passi successivi
Testate le vostre conoscenze con un quiz.
Per continuare il processo di pianificazione, scegliere un'opzione di archiviazione. Se siete pronti a iniziare con la crittografia, passate a creare un'istanza KMS e una chiave principale.