Puedes encriptar de forma segura todos los datos que se transfieren entre tus aplicaciones cliente y el clúster de Memorystore para Redis. Esto se conoce como encriptación en tránsito. Con la encriptación en tránsito, todo el tráfico de Redis se encripta a través del protocolo de seguridad de la capa de transporte (TLS). Esto garantiza que todos los datos que se transfieran entre tus aplicaciones y el clúster de Memorystore para Redis sigan siendo confidenciales y no se alteren.
Cuando se habilita la encriptación en tránsito, los clientes de Redis se comunican exclusivamente a través de una conexión segura. Se bloquean los clientes de Redis que no están configurados para TLS. Si eliges usar la encriptación en tránsito, serás responsable de garantizar que tu cliente de Redis pueda usar el protocolo TLS.
A continuación, se muestran ejemplos de casos de uso para la encriptación en tránsito:
- Protege los datos sensibles almacenados en caché: Si usas Memorystore para Redis Cluster para almacenar información valiosa, como tokens de sesión, información de identificación personal (PII) o claves de API, la encriptación en tránsito evita que los atacantes con acceso a la VPC accedan a tus datos.
- Cumple con los estándares de la industria: Muchos marcos de seguridad, como HIPAA para el sector de la salud y PCI DSS para los datos financieros, exigen que la información sensible se encripte tanto en reposo como en tránsito para cumplir con las reglamentaciones y los estándares de la industria.
- Autenticación segura de Identity and Access Management (IAM): Cuando usas la autenticación de IAM para administrar el acceso a tus datos, Memorystore para Redis Cluster requiere TLS para evitar la exposición o la filtración de tokens de autenticación durante la transmisión.
- Evita ataques de intermediarios: TLS autentica el extremo del servidor con autoridades certificadoras (CA). Las CA protegen tu aplicación contra la suplantación de servidores y la modificación no autorizada de datos a medida que estos se mueven entre tu aplicación y Memorystore para Redis Cluster.
Requisitos previos para la encriptación en tránsito
Para usar la encriptación en tránsito con Memorystore for Redis Cluster, necesitas lo siguiente:
Un cliente de Redis que admita TLS o un archivo adicional de TLS de terceros
Certificados de la CA instalados en la máquina cliente que accede a tu clúster
La TLS integrada solo era compatible con Redis, versiones 6.0 y posteriores. Como resultado, no todas las bibliotecas cliente de Redis admiten TLS. Si usas un cliente que no admite TLS, te recomendamos usar un complemento de terceros que habilite TLS para tu cliente. Puedes ver un ejemplo de cómo conectarte a un clúster en Memorystore for Redis Cluster que tiene habilitada la encriptación en tránsito.
Autoridades certificadoras (CA)
Un clúster que usa la encriptación en tránsito tiene autoridades certificadoras (CA) que autentican los certificados de las máquinas del clúster. Memorystore for Redis Cluster te permite elegir un modo de CA del servidor. El modo de CA determina qué jerarquía de CA se usa para emitir los certificados digitales de un clúster.
Memorystore for Redis Cluster ofrece los siguientes modos de CA:
- CA por instancia: Memorystore for Redis Cluster aprovisiona cada clúster con su propia infraestructura de CA única. Para acceder a un clúster de forma segura, debes configurar tus clientes para que confíen en esta jerarquía de CA. Esto implica descargar e instalar los certificados de la AC en cada cliente que acceda al clúster.
- AC compartida: Es una infraestructura de AC administrada y regionalizada. Para cada región, puedes descargar un solo paquete de certificados de CA. Este paquete es válido para todos los clústeres ubicados en una región que configures para usar la CA compartida. El uso de una AC compartida reduce la cantidad de certificados que los clientes deben administrar. Este modo de CA está disponible en Vista previa.
- CA administrada por el cliente: Usa tu propio grupo de CA alojado en Certificate Authority Service. Si tus aplicaciones cliente están configuradas para confiar en esta AC, tus aplicaciones podrán conectarse a un clúster sin que tengas que descargar e instalar certificados de AC adicionales. Esto te brinda mayor control y te ayuda a cumplir con los requisitos de cumplimiento. Este modo de CA está disponible en Vista previa.
Rotación del certificado del servidor
Cada semana, Memorystore for Redis Cluster realiza la rotación de certificados del servidor para los clústeres que usan los modos de CA por instancia, CA compartida y CA administrada por el cliente. Los certificados de servidor nuevos solo se aplican a las conexiones nuevas, y las conexiones existentes permanecen activas durante esta rotación.
Además de que Memorystore para Redis Cluster realiza una rotación semanal de certificados del servidor, en el modo de CA administrada por el cliente, puedes rotar los certificados a pedido.
Consecuencias en el rendimiento de habilitar la encriptación en tránsito
La función de encriptación en tránsito encripta y desencripta datos, lo que conlleva una sobrecarga de procesamiento. Como resultado, habilitar la encriptación en tránsito puede reducir el rendimiento de tus clientes. Además, cuando usas la encriptación en tránsito, cada conexión adicional incluye un costo de recurso asociado.
Para determinar la latencia asociada con el uso de la encriptación en tránsito, compara el rendimiento de tus clientes. Para ello, compara el rendimiento de un clúster que tiene habilitada la encriptación en tránsito con el de un clúster que la tiene desactivada.
Lineamientos para mejorar el rendimiento
Para mejorar el rendimiento de un clúster, sigue estos lineamientos:
Cuando sea posible, disminuye la cantidad de conexiones de clientes. En lugar de crear conexiones de corta duración según demanda, establece y reutiliza conexiones de larga duración.
Aumenta el tamaño del clúster.
Aumenta los recursos de CPU de la máquina anfitrión del cliente. Las máquinas cliente con un mayor recuento de CPU ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, te recomendamos que uses clústeres optimizados.
Disminuye el tamaño de la carga útil asociada con el tráfico de tu cliente. Las cargas útiles más grandes requieren más recorridos de ida y vuelta.