Configuração de Chaves gerenciadas pelo cliente para o AEM as a Cloud Service customer-managed-keys-for-aem-as-a-cloud-service
Atualmente, a AEM as a Cloud Service armazena dados de clientes no Azure Blob Storage e no MongoDB, utilizando chaves de criptografia gerenciadas por provedor por padrão para proteger dados. Embora essa configuração atenda às necessidades de segurança de muitas organizações, as empresas de setores regulamentados ou que precisem de segurança de dados aprimorada buscam maior controle sobre suas práticas de criptografia. Para organizações que priorizam a segurança de dados, a conformidade e a capacidade de gerenciar suas chaves de criptografia, a solução CMK (Customer-Managed Keys, chaves gerenciadas pelo cliente) oferece um aprimoramento essencial.
Finalidade desta solução the-problem-being-solved
Chaves gerenciadas pelo provedor podem criar dificuldades para empresas que exigem privacidade e integridade adicionais. Sem controle sobre o gerenciamento de chaves, as organizações enfrentam desafios para atender aos requisitos de conformidade, implementar políticas personalizadas de segurança e garantir a segurança completa dos dados.
A introdução do CMK (Customer-Managed Keys, chaves gerenciadas pelo cliente) resolve essas preocupações, pois capacita os clientes da AEM com controle total sobre suas chaves de criptografia. Autenticando-se por meio da Microsoft Entra ID (antigo Azure Ative Diretory), o AEM CS se conecta com segurança ao Cofre de chaves da Azure do cliente, permitindo que ele gerencie o ciclo de vida de suas chaves de criptografia, incluindo criação, rotação e revogação de chaves.
A CMK oferece várias vantagens:
- Gerenciar Criptografia de Dados e Aplicativos: aumente a segurança com o controle direto do aplicativo AEM e das chaves de criptografia de dados.
- Aumente a confidencialidade e a integridade: reduza a probabilidade de acesso inadvertido e divulgação de dados confidenciais ou proprietários com o gerenciamento completo de criptografia.
- Suporte ao Cofre de Chaves da Azure O uso do Cofre de Chaves da Azure permite o armazenamento de chaves, o processamento de operações secretas e a execução de rotações de chaves.
Com a adoção do CMK, os clientes podem aumentar o controle sobre suas práticas de segurança e criptografia de dados, aprimorando a segurança e reduzindo riscos, ao mesmo tempo que mantêm a escalabilidade e a flexibilidade do AEM CS.
O AEM as a Cloud Service permite que você use suas próprias chaves de criptografia para criptografar dados em repouso. Este guia fornece etapas para configurar uma chave gerenciada pelo cliente (CMK) no Cofre de chaves da Azure para AEM as a Cloud Service.
Este guia fornece as seguintes etapas para criar e configurar a infraestrutura necessária:
- Configurar o ambiente
- Obter uma ID de aplicativo do Adobe
- Criar um novo grupo de recursos
- Criar um cofre de chaves
- Conceder acesso à Adobe para o cofre de chaves
- Criar uma chave de criptografia
Você precisa compartilhar o URL do cofre de chaves, o nome da chave de criptografia e as informações sobre o cofre de chaves com a Adobe.
Configurar o ambiente setup-your-environment
A Interface de linha de comando (CLI) da Azure é o único requisito deste guia. Se você ainda não tiver o Azure CLI instalado, siga as instruções oficiais de instalação aqui.
Antes de continuar com o restante deste guia, faça logon na CLI com o az login.
Iniciar o processo de configuração do CMK para o AEM as a Cloud Service request-cmk-for-aem-as-a-cloud-service
Você precisa solicitar a configuração das Chaves gerenciadas pelo cliente (CMK) para seu ambiente do AEM as a Cloud Service por meio da interface do. Para fazer isso, navegue até a interface do usuário do AEM Home Security, na seção Chaves gerenciadas pelo cliente.
Você pode iniciar o processo de integração clicando no botão Iniciar integração.
Obter uma ID de aplicativo do Adobe obtain-an-application-id-from-adobe
Após iniciar o processo de integração, o Adobe fornece uma ID de aplicativo do Entra. Essa ID do aplicativo é necessária para o restante do guia e cria uma entidade de serviço que permite que o Adobe acesse seu cofre de chaves. Se você ainda não tiver uma ID do aplicativo, aguarde até que a Adobe a forneça.
Após concluir a solicitação, você verá a ID do aplicativo na interface do CMK.
Criar um novo grupo de recursos create-a-new-resource-group
Crie um novo grupo de recursos em um local de sua escolha.
# Choose a location and a name for the resource group.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"
# Create the resource group.
az group create --location $location --resource-group $resourceGroup
Se você já tiver um grupo de recursos, use-o. No restante deste guia, o local do grupo de recursos e seu nome são identificados com $location e $resourceGroup, respectivamente.
Criar um cofre de chaves create-a-key-vault
Crie um cofre de chaves para conter sua chave de criptografia. O cofre de chaves deve ter a proteção de limpeza habilitada. A proteção de descarte é necessária para criptografar dados em repouso de outros serviços da Azure. O acesso à rede pública deve ser ativado para garantir que os serviços da Adobe possam acessar o cofre de chaves.
# Reuse this information from the previous step.
$location="<AZURE LOCATION>"
$resourceGroup="<RESOURCE GROUP>"
# Choose a name for the key vault.
$keyVaultName="<KEY VAULT NAME>"
# Create the key vault.
az keyvault create `
--location $location `
--resource-group $resourceGroup `
--name $keyVaultName `
--default-action=Allow `
--enable-purge-protection `
--enable-rbac-authorization `
--public-network-access Enabled
Conceder acesso à Adobe para o cofre de chaves grant-adobe-access-to-the-key-vault
Nesta etapa, você permite que o Adobe acesse seu cofre de chaves por meio de um aplicativo Entra. A Adobe já deveria ter fornecido a ID do aplicativo Entra.
Primeiro, você deve criar uma entidade de serviço anexada ao aplicativo Entra e atribuir as funções Cofre de Chaves Reader e Usuário de Criptografia do Cofre de Chaves a ela. As funções estão limitadas ao cofre de chaves criado neste guia.
# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"
# The application ID is provided by Adobe.
$appId="<APPLICATION ID>"
# Retrieve the ID of the key vault.
$keyVaultId=(az keyvault show --resource-group $resourceGroup --name $keyVaultName --query id --output tsv)
# Create a new service principal.
$servicePrincipalId=(az ad sp create --id $appId --query id --out tsv)
# Assign the roles to the service principal.
az role assignment create --assignee $servicePrincipalId --role "Key Vault Reader" --scope $keyVaultId
az role assignment create --assignee $servicePrincipalId --role "Key Vault Crypto User" --scope $keyVaultId
Criar uma chave de criptografia create-an-encryption-key
Por fim, você pode criar uma chave de criptografia no cofre de chaves. Você precisa da função Criptografador do Cofre de Chaves para concluir esta etapa. Para que essa atribuição seja concedida a você, entre em contato com o administrador do sistema se o usuário conectado não tiver essa atribuição. Como alternativa, peça a uma pessoa que já tenha essa função que conclua esta etapa para você.
O acesso de rede ao cofre de chaves é necessário para criar a chave de criptografia. Primeiro, verifique se você pode acessar o cofre de chaves e prossiga com a criação da chave:
# Reuse this information from the previous steps.
$keyVaultName="<KEY VAULT NAME>"
# Choose a name for your key.
$keyName="<KEY NAME>"
# Create the key.
az keyvault key create --vault-name $keyVaultName --name $keyName
Compartilhar as informações do cofre de chaves share-the-key-vault-information
Neste ponto, a configuração está concluída. Compartilhe as informações necessárias por meio da interface do CMK, que inicia o processo de configuração do ambiente.
# Reuse this information from the previous steps.
$resourceGroup="<RESOURCE GROUP>"
$keyVaultName="<KEY VAULT NAME>"
# Retrieve the URL of your key vault.
$keyVaultUri=(az keyvault show --name $keyVaultName `
--resource-group $resourceGroup `
--query properties.vaultUri `
--output tsv)
# In addition we would need the tenantId and the subscriptionId in order to setup the connection.
$tenantId=(az keyvault show --name $keyVaultName `
--resource-group $resourceGroup `
--query properties.tenantId `
--output tsv)
$subscriptionId="<Subscription ID>"
Forneça essas informações na interface do CMK:
Implicações da revogação do acesso à chave implications-of-revoking-key-access
Revogar ou desativar o acesso ao Cofre, à chave ou ao aplicativo CMK pode resultar em interrupções operacionais significativas no ambiente do AEM as a Cloud Service. Quando essas chaves forem desativadas, os dados no AEM as a Cloud Service ficarão inacessíveis e qualquer operação downstream que depende desses dados deixará de funcionar. É fundamental entender os possíveis impactos antes de fazer qualquer alteração nas principais configurações.
Se você decidir revogar o acesso do AEM as a Cloud Service aos seus dados, poderá fazê-lo removendo a função de usuário associada à aplicação do Cofre da Chave no Azure.
Próximas etapas next-steps
Depois de fornecer as informações necessárias na interface do CMK, o Adobe inicia o processo de configuração do seu ambiente AEM as a Cloud Service. Esse processo requer tempo e você é notificado quando ele é concluído.
Conclua a configuração do CMK complete-the-cmk-setup
Quando o processo de configuração for concluído, você poderá ver o status da configuração do CMK na interface. Você também pode ver o cofre de chaves e a chave de criptografia.
Perguntas e suporte questions-and-support
Entre em contato com a Adobe se tiver dúvidas ou precisar de assistência com a configuração de Chaves gerenciadas pelo cliente para o AEM as a Cloud Service. O Suporte da Adobe resolve todas as suas dúvidas.