Modèle de sécurité pour service de cache géré Azure

  • Article

Mis à jour: août 2015

Important

Microsoft recommande que tous les nouveaux développements utilisent le Cache Redis Azure. Pour une documentation et des conseils actualisés sur le choix d'une offre de Cache Azure, voir Quelle est l'offre Azure Cache qui me convient ?

service caché managé vous permet de contrôler l'accès à votre cache en exigeant des applications clientes qu'elles s'authentifient à l'aide de clés d'accès. service caché managé offre également la possibilité de sécuriser une communication par canal entre votre application cliente et le cache. Cette rubrique fournit une vue d'ensemble du contrôle d'accès à l'aide de clés, et de la sécurisation de la communication avec votre cache.

Dans cette section

  • Contrôle d'accès à l'aide de clés

    • Procédure : exécution d'une mise à jour propagée

  • Sécurisation des communications entre les clients du cache et le cache

Contrôle d'accès à l'aide de clés

Pour garantir que seules des applications clientes autorisées puissent accéder à votre cache, tous les clients sont tenus de présenter une clé d'accès au cache.

Lorsque vous créez un cache à l'aide du portail de gestion, le cache est préconfiguré avec deux clés d'accès : une clé d'accès primaire et une clé d'accès secondaire. Pour les récupérer, cliquez sur Gérer les clés sous l'onglet Démarrage rapide du Cache, ou sur le Tableau de bord du cache.

Gestion des clés d'accès pour le service de mise en cache Microsoft Azure

Ces clés d'accès permettent de configurer votre application cliente.

Notes

Généralement, vous devez utiliser la clé d'accès primaire, la clé secondaire servant essentiellement à effectuer une mise à jour propagée lors de la régénération de la clé primaire. Cette procédure est décrite dans la section Procédure : exécution d'une mise à jour propagée ci-après.

Pour spécifier la clé d'accès au cache dans votre application cliente, ouvrez le fichier web.config ou app.config correspondant à l'application, puis recherchez l'élément securityProperties dans la section dataCacheClients.

<!--<securityProperties mode="Message" sslEnabled="false">
  <messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>-->

Annulez le commentaire de cet extrait de code, puis remplacez [Authentication Key] par la clé d'accès primaire. Si la clé d'authentification n'est pas correctement configurée, les clients ne peuvent pas se connecter au cache.

Notes

Les sections securityProperties et dataCacheClients sont ajoutées par le package NuGet Cache pour configurer les clients du cache. Pour plus d'informations, consultez Configure a Cache Client using the Caching NuGet Package.

La clé d'accès secondaire fournie vous permet de mettre à jour les clés en procédant à une mise à jour propagée de façon à ce que les changements de clés n'interrompent pas l'exécution de vos applications.

Procédure : exécution d'une mise à jour propagée

Si vous devez régénérer votre clé primaire, par exemple, pour vous conformer à une stratégie d'entreprise, ou si la clé d'accès a été compromise, vous devez procéder comme suit.

  1. Mettez à jour la configuration des applications clientes de votre cache afin d'utiliser la clé d'accès secondaire.

  2. Dans la boîte de dialogue Gérer les clés d'accès du portail de gestion, cliquez sur régénérer en regard de la clé d'accès primaire.

  3. Modifiez la configuration des applications clientes de votre cache afin d'utiliser la clé d'accès primaire que vous venez de régénérer.

    Régénérez la clé d'accès secondaire.

Sécurisation des communications entre les clients du cache et le cache

service caché managé vous permet de sécuriser la communication entre vos applications clientes et votre cache. Pour ce faire, définissez sslEnabled = true dans l'élément securityProperties de la section dataCacheClients du fichier web.config ou app.config de votre application. Cela garantit que le protocole TLS sera utilisé pour toute communication entre le client et le cache.

<securityProperties mode="Message" sslEnabled="true">
  <messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>

Par défaut, la valeur de sslEnabled est false, et si l'attribut sslEnabled n'est pas défini, la valeur utilisée est false.

La communication entre les clients et les caches hébergés dans la même région Azure est déjà sécurisée. Si votre cache est hébergé dans la même région Azure que votre application cliente, nous vous recommandons de définir la valeur sslEnabled sur false. En raison du traitement que nécessite l'utilisation du protocole SSL, la définition de sslEnabled sur true quand le cache et les clients du cache se trouvent dans la même région a pour effet de dégrader inutilement les performances du cache.

Si le cache et le client du cache ne peuvent pas se trouver dans la même région Azure, il se peut qu'une communication chiffrée soit bénéfique pour votre application si vous définissez la valeur sslEnabled sur true. Pour optimiser les performances (pas uniquement en ce qui concerne le paramètre sslEnabled), placez le cache dans la même région que l'application cliente.

Voir aussi

Référence

Configure a Cache Client using the Caching NuGet Package

Autres ressources

Fonctionnalités du service de cache géré Azure