É possível criptografar todos os dados que se movem entre os aplicativos cliente e o Memorystore for Redis Cluster com segurança. Isso é criptografia em trânsito. Ao usar a criptografia em trânsito, todo o tráfego do Redis é criptografado pelo protocolo Transport Layer Security (TLS). Isso garante que todos os dados que se movem entre os aplicativos e o Memorystore for Redis Cluster permaneçam confidenciais e sem adulteração.
Quando a criptografia em trânsito está ativada, os clientes do Redis se comunicam exclusivamente por uma conexão segura. Os clientes do Redis que não estão configurados para o TLS são bloqueados. Se você optar por usar a criptografia em trânsito, será responsável por garantir que o cliente do Redis possa usar o protocolo TLS.
Confira a seguir exemplos de casos de uso da criptografia em trânsito:
- Proteger dados sensíveis em cache: se você usar o Memorystore for Redis Cluster para armazenar informações de alto valor, como tokens de sessão, informações de identificação pessoal (PII) ou chaves de API, a criptografia em trânsito impede que invasores com acesso à VPC acessem seus dados.
- Obedecer aos padrões do setor: muitas estruturas de segurança, incluindo a HIPAA para saúde e o PCI DSS para dados financeiros, exigem que informações sensíveis sejam criptografadas em repouso e em trânsito para fins regulatórios e de conformidade do setor.
- Proteger a autenticação do Identity and Access Management (IAM): Quando você usa a autenticação do IAM para gerenciar o acesso aos seus dados, o Memorystore for Redis Cluster exige o TLS para evitar a exposição ou o vazamento de tokens de autenticação durante a transmissão.
- Impedir ataques man-in-the-middle: o TLS autentica o endpoint do servidor usando autoridades de certificação (CAs). As CAs protegem seu aplicativo contra falsificação de servidor e modificação de dados não autorizada à medida que os dados se movem entre o aplicativo e o Memorystore for Redis Cluster.
Pré-requisitos de criptografia em trânsito
Para usar a criptografia em trânsito com o Memorystore for Redis Cluster, você precisa do seguinte:
Um cliente Redis compatível com TLS ou um arquivo secundário de TLS de terceiros.
Certificados de CA instalados na máquina cliente que acessa o cluster.
O TLS integrado só era compatível com o Redis, versões 6.0 e mais recentes. Como resultado, nem todas as biblioteca de cliente do Redis são compatíveis com o TLS. Se você usar um cliente que não oferece suporte ao TLS, recomendamos usar um plug-in de terceiros que ative o TLS para o cliente. Confira um exemplo de como se conectar a um cluster no Memorystore for Redis Cluster que tem a criptografia em trânsito ativada.
Autoridades de certificação (CAs)
Um cluster que usa criptografia em trânsito tem autoridades de certificação (CAs) que autenticam os certificados das máquinas no cluster. O Memorystore for Redis Cluster permite escolher um modo de CA do servidor. O modo de CA determina qual hierarquia de CA é usada para emitir os certificados digitais de um cluster.
O Memorystore for Redis Cluster oferece os seguintes modos de CA:
- **CA por instância**: o Memorystore for Redis Cluster provisiona cada cluster com sua própria infraestrutura de CA exclusiva. Para acessar um cluster com segurança, é necessário configurar os clientes para confiar nessa hierarquia de CA. Isso envolve o download e a instalação de certificados de CA em cada cliente que acessa o cluster.
- **CA compartilhada**: uma infraestrutura de CA gerenciada, regionalizada. Para cada região, é possível baixar um pacote de certificado de CA único. Esse pacote é válido para todos os clusters localizados em uma região que você configura para usar a CA compartilhada. O uso de uma CA compartilhada reduz o número de certificados que os clientes precisam gerenciar. Esse modo de CA está disponível em versão prévia.
- **CA gerenciada pelo cliente**: use seu próprio pool de CAs hospedado no Certificate Authority Service. Se os aplicativos cliente estiverem configurados para confiar nessa CA, eles poderão se conectar a um cluster sem que você precise baixar e instalar outros certificados de CA. Isso oferece maior controle e ajuda a atender aos requisitos de conformidade. Esse modo de CA está disponível na versão prévia.
Rotação de certificado do servidor
Toda semana, o Memorystore for Redis Cluster realiza a rotação de certificados do lado do servidor para clusters que usam os modos de CA por instância, CA compartilhada e CA gerenciada pelo cliente. Os novos certificados de servidor se aplicam apenas a novas conexões, e as conexões atuais permanecem ativas durante essa rotação.
Além de o Memorystore for Redis Cluster realizar uma rotação semanal de certificados do lado do servidor, para o modo de AC gerenciada pelo cliente, é possível rotacionar os certificados sob demanda.
Impacto do desempenho da ativação da criptografia em trânsito
O recurso de criptografia em trânsito criptografa e descriptografa dados, o que é fornecido com sobrecarga de processamento. Como resultado, ativar a criptografia em trânsito pode reduzir o desempenho dos clientes. Além disso, ao usar a criptografia em trânsito, cada conexão extra vem com um custo de recurso associado.
Para determinar a latência associada ao uso da criptografia em trânsito, compare o desempenho dos clientes. Para fazer isso, compare o desempenho de um cluster que tem a criptografia em trânsito ativada com um cluster que a tem desativada.
Diretrizes para melhorar o desempenho
Para melhorar o desempenho de um cluster, use as seguintes diretrizes:
Quando possível, diminua o número de conexões de cliente. Em vez de criar conexões de curta duração sob demanda, estabeleça e reutilize conexões de longa duração.
Aumente o tamanho do cluster.
Aumente os recursos de CPU da máquina host do cliente. Máquinas cliente com uma contagem maior de CPU geram melhor desempenho. Se você usar uma VM do Compute Engine, recomendamos o uso de clusters otimizados.
Diminua o tamanho do payload associado ao tráfego do cliente. Payloads maiores exigem mais idas e voltas.