Sicherheitsmodell für Azure Managed Cache Service
Wichtig
Microsoft empfiehlt, alle neuen Entwicklungen azure Redis Cache zu verwenden. Aktuelle Dokumentation und Anleitung zum Auswählen eines Azure Cache-Angebots finden Sie unter Welches Azure Cache-Angebot ist für mich geeignet?
Managed Cache Service ermöglicht es Ihnen, den Zugriff auf Ihren Cache zu steuern, indem Clientanwendungen sich mit Zugriffstasten für den Cache authentifizieren müssen. Managed Cache Service bietet auch die Möglichkeit, die Kanalkommunikation zwischen Ihrer Clientanwendung und dem Cache zu sichern. Dieses Thema enthält eine Übersicht über das Steuern des Zugriffs mithilfe von Zugriffsschlüsseln sowie das Sichern der Kommunikation mit Ihrem Cache.
In diesem Abschnitt
Steuern des Zugriffs mithilfe von Zugriffsschlüsseln
- Vorgehensweise: Ausführen eines rollierenden Updates
Sichern der Kommunikation zwischen Cacheclients und dem Cache
Steuern des Zugriffs mithilfe von Zugriffsschlüsseln
Damit sichergestellt wird, dass nur die gewünschten Clientanwendungen in der Lage sind, auf Ihren Cache zuzugreifen, müssen alle Clients einen Zugriffsschlüssel für den Cache vorweisen können.
Wenn Sie einen Cache mithilfe des Verwaltungsportals erstellen, ist er vorkonfiguriert mit zwei Zugriffstasten: einem Primärzugriffsschlüssel und einem sekundären Zugriffsschlüssel. Sie können diese abrufen, indem Sie auf der Registerkarte Schnellstart für den Cache oder im Dashboard des Caches auf Schlüssel verwalten klicken.
Diese Zugriffsschlüssel werden zum Konfigurieren Ihrer Clientanwendung verwendet.
Hinweis
Normalerweise wird der primäre Zugriffsschlüssel verwendet, und der sekundäre Zugriffsschlüssel wird zum Ausführen eines parallelen Updates verwendet, wenn der primäre Zugriffsschlüssel neu generiert wird. Dieses Verfahren wird im folgenden Abschnitt "How to: Perform a Rolling Update" beschrieben.
Öffnen Sie zum Angeben des Zugriffsschlüssels für den Cache in Ihrer Clientanwendung die Datei web.config oder app.config für die Anwendung, und suchen Sie nach dem Element securityProperties
im Abschnitt dataCacheClients
.
<!--<securityProperties mode="Message" sslEnabled="false">
<messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>-->
Heben Sie die Kommentierung dieses Codeausschnitts auf, und ersetzen Sie dann [Authentication Key] durch den primären Zugriffsschlüssel. Wenn der Authentifizierungsschlüssel nicht ordnungsgemäß konfiguriert ist, können Clients keine Verbindungen mit dem Cache herstellen.
Hinweis
Die Abschnitte securityProperties
und dataCacheClients
werden vom NuGet-Paket Cache hinzugefügt, das zum Konfigurieren von Cacheclients verwendet wird. Weitere Informationen finden Sie unter Konfigurieren eines Cacheclients mithilfe des Zwischenspeicherns NuGet Pakets.
Ein sekundärer Zugriffsschlüssel wird ebenfalls bereitgestellt, damit Sie die Schlüssel mithilfe eines parallelen Updates aktualisieren können und Ihre Anwendungen nicht aufgrund von Schlüsseländerungen ausfallen.
Vorgehensweise: Ausführen eines rollierenden Updates
Für Szenarien, in denen der primäre Zugriffsschlüssel neu generiert werden muss (z. B. zur Einhaltung der Unternehmensrichtlinie oder wenn die Sicherheit des Zugriffsschlüssels gefährdet wurde), können Sie die folgenden Schritte ausführen.
Aktualisieren Sie die Konfiguration Ihrer Cacheclientanwendungen für die Verwendung des sekundären Zugriffsschlüssels.
Klicken Sie im Dialogfeld Zugriffsschlüssel verwalten im Verwaltungsportal für den primären Zugriffsschlüssel auf Neu generieren.
Aktualisieren Sie die Konfiguration Ihrer Cacheclientanwendungen auf die Verwendung des neu generierten primären Zugriffsschlüssels.
Generieren Sie den sekundären Zugriffsschlüssel neu.
Sichern der Kommunikation zwischen Cacheclients und dem Cache
Managed Cache Service bietet ihnen die Möglichkeit, die Kommunikation zwischen Ihrer Clientanwendung und Ihrem Cache zu sichern. Legen Sie zu diesem Zweck sslEnabled = true
im Element securityProperties
im Abschnitt dataCacheClients
der Datei web.config oder app.config Ihrer Anwendung fest. Dies stellt sicher, dass die gesamte Kommunikation zwischen dem Client und dem Cache über TLS erfolgt.
<securityProperties mode="Message" sslEnabled="true">
<messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>
sslEnabled
Standardmäßig ist "false" festgelegt, und wenn das sslEnabled
Attribut nicht angegeben wird, lautet der verwendete Wert "false".
Die Kommunikation zwischen Clients und Caches, die in derselben Azure-Region gehostet werden, ist bereits sicher. Wenn Ihr Cache in derselben Azure-Region wie Ihre Clientanwendung gehostet wird, empfiehlt es sich, auf "false" festzulegensslEnabled
. Da beim Verwenden von SSL etwas Aufwand besteht, wird die Einstellung auf "true" festgelegtsslEnabled
, wenn sich die Cache- und Cacheclients in derselben Region befinden, unnötig die Cacheleistung beeinträchtigt.
Wenn es nicht möglich ist, sowohl den Cache als auch den Cacheclient in derselben Azure-Region zu haben, kann Ihre Anwendung den Vorteil einer verschlüsselten Kommunikation erhalten, indem Sie "true" festlegensslEnabled
. Hinweis: Damit die bestmögliche Leistung erzielt wird (nicht nur im Hinblick auf die Einstellung sslEnabled
), sollten Sie den Cache in der gleichen Region wie die Cacheclientanwendung platzieren.
Weitere Informationen
Verweis
Konfigurieren eines Cacheclients mithilfe des NuGet-Pakets Caching