Visão geral de criptografia
Nuvem privada virtual Infraestrutura clássica
Proteja informações confidenciais em seu IBM Cloud® Kubernetes Service cluster para garantir a integridade dos dados e evitar que seus dados sejam expostos a usuários não autorizados configurando um provedor de serviços de gerenciamento de chaves (KMS).
IBM Cloud Kubernetes Service oferece criptografia em diversas camadas do seu cluster. A criptografia de alguns componentes é gerenciada pela IBM, enquanto que, para outros componentes, você tem a opção de trazer suas próprias credenciais de provedor de KMS para gerenciar a criptografia por conta própria.
A tabela a seguir descreve as opções de criptografia para IBM Cloud Kubernetes Service aglomerados.
| Componente | Criptografado por padrão? | Trazer sua própria chave de suporte? | Tempo de ativação | Provedores de KMS suportados | Suporte de conta cruzada? |
|---|---|---|---|---|---|
| Plano de controle | True | Não | Durante a criação do cluster | IBM gerenciou Key Protect | N/A |
| Discos do nó do trabalhador | True | True | Durante a criação do cluster ou a criação do conjunto de trabalhadores |
|
True |
| Segredos do cluster | Não | True | Após a criação do cluster usando o kms enable |
|
Conta cruzada suportada apenas para clusters clássicos e de VPC |
| Armazenamento persistente | Depende do provedor de armazenamento. | Depende do provedor | Após a criação do cluster, ao configurar o armazenamento. |
|
Depende do provedor de armazenamento. |
| Tráfego de trabalhador para trabalhador | Não | Não | Após a criação do cluster | N/A | Não |
Plano de controle
A criptografia do plano de controle é gerenciada por IBM.
- Os componentes do Kubernetes master são inicializados em uma unidade criptografada por LUKS usando uma chave gerenciada pelo IBM.
- O componente etcd do principal armazena os arquivos de configuração dos recursos do Kubernetes, tais como implementações e segredos.
- Os dados em etcd são armazenados no disco local do principal do Kubernetes e são submetidos a backup no IBM Cloud Object Storage.
- Os dados são criptografados durante o trânsito para o IBM Cloud Object Storage e em repouso.
Discos do nó do trabalhador:
Os discos anexados são usados para inicializar o nó de trabalho, hospedar o sistema de arquivos do contêiner e armazenar imagens extraídas localmente. A criptografia e o número de discos variam por provedor de infraestrutura.
- Nós do trabalhador de VPC
- Por padrão, o único disco primário dos nós de trabalho da VPC é AES-256 bit criptografado em repouso pelo provedor de infraestrutura da VPC subjacente. É possível gerenciar a criptografia dos nós do trabalhador ativando um provedor de KMS no nível do conjunto de trabalhadores. Para obter mais informações, sobre os discos do nó do trabalhador do VPC de criptografia, consulte Configurando a criptografia do disco do nó do trabalhador para clusters do VPC
- Nós do trabalhador clássicos
- O disco primário tem as imagens do kernel para inicializar seu nó do trabalhador. O disco não está criptografado. O disco secundário tem o sistema de arquivos de contêiner e imagens extraídas localmente. Esse disco é criptografado por AES de 256 bits com uma chave de criptografia LUKS gerenciada pela IBM exclusiva para o nó do trabalhador e armazenada como um segredo de Kubernetes no cluster. Ao recarregar ou atualizar os nós do trabalhador, as chaves LUKS serão giradas.
Segredos do cluster.
Kubernetes segredos são base64 codificados por padrão. É possível proteger ainda mais os segredos do Kubernetes e quaisquer credenciais armazenadas em segredos ativando um provedor de serviço de gerenciamento de chaves (KMS), como IBM® Key Protect for IBM Cloud® ou Hyper Protect Crypto Services.
Quando você ativa um provedor de serviço de gerenciamento de chaves (KMS) para seu cluster, você traz sua própria chave raiz. A chave raiz é usada para criptografar as chaves de criptografia de dados (DEKs) que são usadas para criptografar os segredos no cluster. A chave raiz é armazenada na instância do provedor KMS que você controla. As DEKs criptografadas são armazenadas em etcd e só podem ser decriptografadas usando a chave raiz do provedor KMS. Para obter mais informações sobre como a criptografia de chaves funciona, consulte Criptografia de envelope.
Revise as notas a seguir sobre a criptografia de segredo do cluster
- Os segredos de cluster são criptografados usando o seu KMS
- Os segredos de cluster são atualizados automaticamente após as chaves raiz serem giradas.
- Clusters que usam a chave raiz são visualizáveis a partir da interface do provedor KMS.
- Os clusters responderão automaticamente se você desativar, ativar ou restaurar as chaves raiz.
- A desativação de uma chave raiz restringe a funcionalidade do cluster até que você ative novamente a chave.
- A exclusão de uma chave raiz torna o cluster inutilizável e irrecuperável.
- Você pode ter apenas um provedor KMS e uma chave habilitados no cluster por vez.
- Você pode mudar o provedor e a chave KMS.
- Não é possível desativar a criptografia do provedor KMS.
Para configurar a criptografia secreta do cluster, consulte Configurando a criptografia secreta do cluster.
Armazenamento persistente
Dependendo do tipo de armazenamento persistente usado, é possível criptografar os dados gravados nos volumes de armazenamento ativando um provedor KMS. Para obter mais informações sobre os tipos de armazenamento persistente e criptografia disponíveis, consulte Entendendo suas opções de armazenamento..
Tráfego de trabalhador para trabalhador
É possível configurar a criptografia para o fluxo de dados entre os nós do trabalhador em seu cluster usando WireGuard. Para obter mais informações, consulte Criptografando o tráfego de trabalhador para trabalhador com WireGuard.
Próximas etapas
Para continuar o processo de planejamento, escolha uma opção de armazenamento. Se você estiver pronto para começar a usar a criptografia, vá para criação de uma instância KMS e de uma chave raiz.