Modelo de seguridad para Azure Managed Cache Service

  • Artículo

Importante

Microsoft recomienda todos los nuevos desarrollos que usen Azure Redis Cache. Para obtener documentación actual e instrucciones sobre cómo elegir una oferta de Azure Cache, consulte ¿Qué oferta de Azure Cache es adecuada para mí?

Managed Cache Service permite controlar el acceso a la memoria caché al requerir que las aplicaciones cliente se autentiquen en la memoria caché mediante claves de acceso. Managed Cache Service también proporciona la capacidad de proteger la comunicación de canal entre la aplicación cliente y la memoria caché. En este tema se ofrece información general sobre el control de acceso mediante claves de acceso y la protección de la comunicación con la memoria caché.

En esta sección

  • Control del acceso mediante claves de acceso

    • Cómo: Realizar una actualización gradual

  • Proteger la comunicación entre los clientes de caché y la memoria caché

Control del acceso mediante claves de acceso

Para garantizar que solamente las aplicaciones cliente autorizadas puedan acceder a la memoria caché, es necesario que todos los clientes presenten una clave de acceso a dicha memoria.

Al crear una memoria caché mediante el Portal de administración, está preconfigurada con dos claves de acceso: una clave de acceso principal y una clave de acceso secundaria. Puede recuperarlas si hace clic en Administrar claves en la ficha Inicio rápido para Caché o en el Panel de Caché.

Manage Access Keys for Windows Azure Cache Service

Estas claves de acceso se usan para configurar la aplicación cliente.

Nota

Normalmente se usa la clave de acceso primaria, mientras que la clave de acceso secundaria suele emplearse para realizar una actualización gradual cuando la clave de acceso primaria se regenera. Este procedimiento se describe en la sección siguiente: Realización de una actualización gradual.

Para especificar la clave de acceso para la memoria caché en la aplicación cliente, abra el archivo web.config o app.config de la aplicación y busque el elemento securityProperties en la sección dataCacheClients.

<!--<securityProperties mode="Message" sslEnabled="false">
  <messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>-->

Quite los comentarios de este fragmento de código y reemplace [Authentication Key] por la clave de acceso primaria. Si la clave de autenticación no se configura correctamente, los clientes no podrán conectarse a la memoria caché.

Nota

El paquete NuGet de caché usado para configurar clientes de caché agrega las secciones securityProperties y dataCacheClients. Para obtener más información, consulte Configuración de un cliente de caché mediante el paquete de NuGet de almacenamiento en caché.

También se proporciona una clave de acceso secundaria con la que puede actualizar las claves usando una actualización gradual de forma que las aplicaciones no sufran tiempos de inactividad por cambios de clave.

Cómo: Realizar una actualización gradual

Para casos en los que necesite volver a generar la clave de acceso primaria, por ejemplo para cumplir una directiva corporativa, o si la clave de acceso ha perdido su carácter confidencial, puede realizar los pasos siguientes.

  1. Actualice la configuración de las aplicaciones del cliente de caché para usar la clave de acceso secundaria.

  2. En el cuadro de diálogo Administrar claves de acceso del Portal de administración, haga clic en volver a generar para la clave de acceso primaria.

  3. Actualice la configuración de las aplicaciones del cliente de caché para usar la clave de acceso primaria recién regenerada.

    Vuelva a generar la clave de acceso secundaria.

Proteger la comunicación entre los clientes de caché y la memoria caché

Managed Cache Service proporciona la capacidad de proteger la comunicación entre la aplicación cliente y la memoria caché. Para ello, establezca sslEnabled = true en el elemento securityProperties en la sección dataCacheClients del archivo web.config o app.config de la aplicación. Esto garantiza que todas las comunicaciones entre el cliente y la memoria caché tengan lugar a través de TLS.

<securityProperties mode="Message" sslEnabled="true">
  <messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>

De forma predeterminada, sslEnabled se establece en false y, si no se especifica el sslEnabled atributo, el valor usado es false.

La comunicación entre clientes y caché hospedadas en la misma región de Azure ya es segura. Si la memoria caché se hospeda en la misma región de Azure que la aplicación cliente, se recomienda establecer en sslEnabledfalse. Dado que hay cierta sobrecarga al usar SSL, establecer sslEnabled en true cuando los clientes de caché y caché están en la misma región degradarán innecesariamente el rendimiento de la caché.

Si no es posible tener la memoria caché y el cliente de caché en la misma región de Azure, la aplicación podría recibir la ventaja de la comunicación cifrada estableciendo sslEnabled en true. Tenga en cuenta que para obtener el mejor rendimiento (no solo respecto al establecimiento de sslEnabled), debe colocar la memoria caché en la misma región que la aplicación de cliente de caché.

Vea también

Referencia

Configurar un cliente de caché mediante el paquete NuGet de Caching

Otros recursos

Características del Servicio de caché administrado de Azure