Share via

Sicherheitsmodell für Azure Managed Cache Service

  • Artikel

Wichtig

Microsoft empfiehlt, alle neuen Entwicklungen azure Redis Cache zu verwenden. Aktuelle Dokumentation und Anleitung zum Auswählen eines Azure Cache-Angebots finden Sie unter Welches Azure Cache-Angebot ist für mich geeignet?

Managed Cache Service ermöglicht es Ihnen, den Zugriff auf Ihren Cache zu steuern, indem Clientanwendungen sich mit Zugriffstasten für den Cache authentifizieren müssen. Managed Cache Service bietet auch die Möglichkeit, die Kanalkommunikation zwischen Ihrer Clientanwendung und dem Cache zu sichern. Dieses Thema enthält eine Übersicht über das Steuern des Zugriffs mithilfe von Zugriffsschlüsseln sowie das Sichern der Kommunikation mit Ihrem Cache.

In diesem Abschnitt

  • Steuern des Zugriffs mithilfe von Zugriffsschlüsseln

    • Vorgehensweise: Ausführen eines rollierenden Updates

  • Sichern der Kommunikation zwischen Cacheclients und dem Cache

Steuern des Zugriffs mithilfe von Zugriffsschlüsseln

Damit sichergestellt wird, dass nur die gewünschten Clientanwendungen in der Lage sind, auf Ihren Cache zuzugreifen, müssen alle Clients einen Zugriffsschlüssel für den Cache vorweisen können.

Wenn Sie einen Cache mithilfe des Verwaltungsportals erstellen, ist er vorkonfiguriert mit zwei Zugriffstasten: einem Primärzugriffsschlüssel und einem sekundären Zugriffsschlüssel. Sie können diese abrufen, indem Sie auf der Registerkarte Schnellstart für den Cache oder im Dashboard des Caches auf Schlüssel verwalten klicken.

Manage Access Keys for Windows Azure Cache Service

Diese Zugriffsschlüssel werden zum Konfigurieren Ihrer Clientanwendung verwendet.

Hinweis

Normalerweise wird der primäre Zugriffsschlüssel verwendet, und der sekundäre Zugriffsschlüssel wird zum Ausführen eines parallelen Updates verwendet, wenn der primäre Zugriffsschlüssel neu generiert wird. Dieses Verfahren wird im folgenden Abschnitt "How to: Perform a Rolling Update" beschrieben.

Öffnen Sie zum Angeben des Zugriffsschlüssels für den Cache in Ihrer Clientanwendung die Datei web.config oder app.config für die Anwendung, und suchen Sie nach dem Element securityProperties im Abschnitt dataCacheClients.

<!--<securityProperties mode="Message" sslEnabled="false">
  <messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>-->

Heben Sie die Kommentierung dieses Codeausschnitts auf, und ersetzen Sie dann [Authentication Key] durch den primären Zugriffsschlüssel. Wenn der Authentifizierungsschlüssel nicht ordnungsgemäß konfiguriert ist, können Clients keine Verbindungen mit dem Cache herstellen.

Hinweis

Die Abschnitte securityProperties und dataCacheClients werden vom NuGet-Paket Cache hinzugefügt, das zum Konfigurieren von Cacheclients verwendet wird. Weitere Informationen finden Sie unter Konfigurieren eines Cacheclients mithilfe des Zwischenspeicherns NuGet Pakets.

Ein sekundärer Zugriffsschlüssel wird ebenfalls bereitgestellt, damit Sie die Schlüssel mithilfe eines parallelen Updates aktualisieren können und Ihre Anwendungen nicht aufgrund von Schlüsseländerungen ausfallen.

Vorgehensweise: Ausführen eines rollierenden Updates

Für Szenarien, in denen der primäre Zugriffsschlüssel neu generiert werden muss (z. B. zur Einhaltung der Unternehmensrichtlinie oder wenn die Sicherheit des Zugriffsschlüssels gefährdet wurde), können Sie die folgenden Schritte ausführen.

  1. Aktualisieren Sie die Konfiguration Ihrer Cacheclientanwendungen für die Verwendung des sekundären Zugriffsschlüssels.

  2. Klicken Sie im Dialogfeld Zugriffsschlüssel verwalten im Verwaltungsportal für den primären Zugriffsschlüssel auf Neu generieren.

  3. Aktualisieren Sie die Konfiguration Ihrer Cacheclientanwendungen auf die Verwendung des neu generierten primären Zugriffsschlüssels.

    Generieren Sie den sekundären Zugriffsschlüssel neu.

Sichern der Kommunikation zwischen Cacheclients und dem Cache

Managed Cache Service bietet ihnen die Möglichkeit, die Kommunikation zwischen Ihrer Clientanwendung und Ihrem Cache zu sichern. Legen Sie zu diesem Zweck sslEnabled = true im Element securityProperties im Abschnitt dataCacheClients der Datei web.config oder app.config Ihrer Anwendung fest. Dies stellt sicher, dass die gesamte Kommunikation zwischen dem Client und dem Cache über TLS erfolgt.

<securityProperties mode="Message" sslEnabled="true">
  <messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>

sslEnabled Standardmäßig ist "false" festgelegt, und wenn das sslEnabled Attribut nicht angegeben wird, lautet der verwendete Wert "false".

Die Kommunikation zwischen Clients und Caches, die in derselben Azure-Region gehostet werden, ist bereits sicher. Wenn Ihr Cache in derselben Azure-Region wie Ihre Clientanwendung gehostet wird, empfiehlt es sich, auf "false" festzulegensslEnabled. Da beim Verwenden von SSL etwas Aufwand besteht, wird die Einstellung auf "true" festgelegtsslEnabled, wenn sich die Cache- und Cacheclients in derselben Region befinden, unnötig die Cacheleistung beeinträchtigt.

Wenn es nicht möglich ist, sowohl den Cache als auch den Cacheclient in derselben Azure-Region zu haben, kann Ihre Anwendung den Vorteil einer verschlüsselten Kommunikation erhalten, indem Sie "true" festlegensslEnabled. Hinweis: Damit die bestmögliche Leistung erzielt wird (nicht nur im Hinblick auf die Einstellung sslEnabled), sollten Sie den Cache in der gleichen Region wie die Cacheclientanwendung platzieren.

Weitere Informationen

Verweis

Konfigurieren eines Cacheclients mithilfe des NuGet-Pakets Caching

Weitere Ressourcen

Funktionen von Azure Managed Cache Service