Tome el Control: Claves Administradas por el Cliente para Lakebase Postgres
Cifrado en almacenamiento y cĆ³mputo con control de revocaciĆ³n
por Ben Hagan
- Lakebase CMK permite al cliente controlar las claves de cifrado, lo que le permite administrar las claves en su propio KMS en la nube en lugar de depender de los valores predeterminados administrados por Databricks.
- Proteja todo el ciclo de vida de los datos cifrando tanto el almacenamiento a largo plazo como las cachĆ©s de cĆ³mputo efĆmeras.
- Use su KMS como un "interruptor de apagado" tĆ©cnico para hacer que los datos sean criptogrĆ”ficamente inaccesibles y terminar las instancias de cĆ³mputo activas, proporcionando una protecciĆ³n para cargas de trabajo de Postgres de alta conformidad.
El cifrado en reposo es una base de la nube, pero para las empresas que operan en entornos altamente regulados, las organizaciones deben controlar la raĆz de confianza. Las Claves Administradas por el Cliente (CMK) de Lakebase brindan este control al permitirle usar sus propias claves de cifrado de su Servicio de AdministraciĆ³n de Claves (KMS), por ejemplo, AWS KMS, Azure Key Vault o Google Cloud KMS, para proteger y administrar datos en todo el ciclo de vida de Lakebase.
Las Claves Administradas por el Cliente (CMK) de Lakebase ofrecen administraciĆ³n y control integrales en toda la arquitectura, a diferencia de las bases de datos administradas convencionales. Si bien las bases de datos tradicionales solo cifran el almacenamiento, Lakebase CMK administra tanto el almacenamiento persistente como el cĆ³mputo efĆmero.
La Arquitectura del Cifrado de Lakebase
La arquitectura de Lakebase separa el almacenamiento y el cĆ³mputo en capas independientes, un diseƱo que permite el escalado elĆ”stico y las operaciones sin servidor. La capa de almacenamiento (Pageserver y Safekeeper) mantiene datos persistentes de larga duraciĆ³n en el almacenamiento de objetos y cachĆ©s locales, mientras que la capa de cĆ³mputo ejecuta instancias de Postgres independientes que escalan hacia arriba, hacia abajo o a cero segĆŗn la demanda.
Esta separaciĆ³n crea un desafĆo Ćŗnico para el cifrado: ambas capas (asĆ como todas sus cachĆ©s en toda la arquitectura) deben cifrarse y permanecer bajo el control del cliente. Lakebase CMK aborda esto a travĆ©s de un modelo jerĆ”rquico de Cifrado Envolvente.
La JerarquĆa de Claves
El Cifrado Envolvente es un modelo de seguridad donde los datos se cifran con claves de datos Ćŗnicas (DEK), y esas claves se cifran a su vez con claves de nivel superior. Esta jerarquĆa garantiza que su CMK nunca salga de su KMS en la nube; Databricks solo recibe versiones envueltas (cifradas) de las claves necesarias para descifrar los datos. El modelo tambiĆ©n permite el cifrado de alto rendimiento a escala, ya que el KMS solo se contacta para desenvolver claves, no para cifrar cada bloque de datos. Esta arquitectura es lo que permite la rotaciĆ³n de claves sin interrupciones y la revocaciĆ³n oportuna si alguna vez es necesario.
La jerarquĆa consta de tres niveles:
- Clave Administrada por el Cliente (CMK): La RaĆz de Confianza que reside en su KMS en la nube (AWS KMS, Azure Key Vault o Google Cloud KMS). Databricks nunca ve el texto plano de esta clave.
- Clave de Cifrado de Claves (KEK): Una clave transitoria utilizada por el Servicio de AdministraciĆ³n de Claves de Databricks para envolver claves de datos.
- Claves de Cifrado de Datos (DEK): Claves Ćŗnicas generadas para cada segmento de datos. Estas se almacenan junto con los datos en un estado cifrado (envuelto).
Cuando se necesitan acceder a los datos, los componentes de Lakebase desenrollan la DEK necesaria utilizando claves obtenidas de su KMS. En caso de revocaciĆ³n, el desenrollado fallarĆ”, haciendo que los datos sean criptogrĆ”ficamente inaccesibles. Como parte de este proceso, todas las instancias de cĆ³mputo efĆmero se terminan para eliminar el acceso a los datos en cach�Ć©.
CMK en la PrĆ”ctica: Almacenamiento y CĆ³mputo
La implementaciĆ³n prĆ”ctica difiere entre el almacenamiento y el cĆ³mputo:
1. Capa de Persistencia (Almacenamiento)
Todos los segmentos de datos administrados por Lakebase, incluidos los segmentos WAL (registros de transacciones almacenados por Safekeeper) y los archivos de datos, se cifran con claves protegidas por su CMK. Esto proporciona defensa en profundidad: los datos en reposo estƔn protegidos por claves de cifrado bajo su control, no por Databricks.
2. Capa EfĆmera (CĆ³mputo)
La VM de cĆ³mputo de Postgres contiene datos efĆmeros utilizados por el sistema operativo y PostgresSQL, por ejemplo, cachĆ©s de rendimiento, artefactos WAL, archivos temporales, etc. Por lo tanto, es fundamental que todos estos datos tambiĆ©n se administren bajo un CMK. CMK protege estos datos de cĆ³mputo efĆmero con:
- Claves por Arranque: Cada vez que se inicia una instancia de cĆ³mputo de Lakebase, genera una clave efĆmera Ćŗnica.
- DestrucciĆ³n AutomĆ”tica: En la revocaciĆ³n de CMK, Lakebase Manager termina la instancia, destruyendo las claves efĆmeras en memoria y haciendo inaccesibles los datos del disco local.
ImplementaciĆ³n de CMK en el Flujo de Trabajo de Lakebase
La implementaciĆ³n sigue el modelo estĆ”ndar de delegaciĆ³n de Cuenta a Espacio de Trabajo de Databricks. Esta separaciĆ³n de funciones garantiza que los Administradores de Seguridad puedan administrar claves sin necesidad de acceso a los datos en sĆ. Una vez que se configura una clave a nivel del espacio de trabajo, todos los proyectos de Lakebase utilizan el CMK como parte del flujo de trabajo de cifrado.
Paso 1: ConfiguraciĆ³n de Claves
Un Administrador de Cuenta crea una ConfiguraciĆ³n de Clave en la Consola de Cuentas de Databricks. Este objeto contiene el identificador de la clave (ARN para AWS KMS, URL de Key Vault para Azure o ID de Clave para Google Cloud KMS) y el rol de IAM o principal de servicio que Lakebase asumirĆ” para realizar operaciones de Envoltura y Desenvoltura.
Paso 2: VinculaciĆ³n del Espacio de Trabajo
La configuraciĆ³n se mapea luego a un Espacio de Trabajo especĆfico. Para Lakebase, esto significa:
- Nuevos Proyectos: Todos los nuevos proyectos de Lakebase heredan automƔticamente el CMK del espacio de trabajo.
- Aislamiento: Diferentes espacios de trabajo pueden usar diferentes CMK para satisfacer requisitos de seguridad multiinquilino o multidepartamentales.
Paso 3: AdministraciĆ³n del Ciclo de Vida y RotaciĆ³n
Lakebase admite la RotaciĆ³n de Claves sin Interrupciones. Cuando rota su CMK en la consola de su proveedor de nube:
- La jerarquĆa de cifrado envolvente permite una rotaciĆ³n sin interrupciones: su CMK se puede rotar en su KMS en la nube sin volver a cifrar los datos ni cambiar las DEK.
- No se requiere tiempo de inactividad ni re-cifrado manual.
AuditorĆa de Seguridad
Dado que el CMK reside en su cuenta en la nube, las operaciones criptogrĆ”ficas contra su clave se registran en el servicio de auditorĆa de su proveedor (AWS CloudTrail, Azure Monitor o Google Cloud Audit Logs).
Comience con SoberanĆa de Datos Mejorada
Si su organizaciĆ³n requiere el mĆ”s alto nivel de control criptogrĆ”fico sobre sus cargas de trabajo de Postgres, Lakebase CMK ya estĆ” disponible para clientes del nivel Enterprise.
ĀæListo para asegurar sus datos? PĆ³ngase en contacto con su equipo de cuentas de Databricks para habilitar las Claves Administradas por el Cliente para su espacio de trabajo, o visite nuestra documentaciĆ³n tĆ©cnica para revisar las polĆticas de IAM y las configuraciones de KMS de requisitos previos.
ĀæAĆŗn no es cliente de Databricks? Comience con una prueba.
(Esta entrada del blog ha sido traducida utilizando herramientas basadas en inteligencia artificial) PublicaciĆ³n original
Recibe las Ćŗltimas publicaciones en tu bandeja de entrada
SuscrĆbete a nuestro blog y recibe las Ćŗltimas publicaciones directamente en tu bandeja de entrada.