É possível criptografar todos os dados que se movem entre os aplicativos cliente e o cluster do Memorystore para Redis com segurança. Essa é a criptografia em trânsito. Ao usar a criptografia em trânsito, todo o tráfego do Redis é criptografado pelo protocolo Transport Layer Security (TLS). Isso garante que todos os dados que se movem entre seus aplicativos e o cluster do Memorystore para Redis permaneçam confidenciais e sem adulteração.
Quando a criptografia em trânsito é ativada, os clientes do Redis se comunicam exclusivamente por uma conexão segura. Os clientes do Redis que não estão configurados para TLS são bloqueados. Se você optar por usar a criptografia em trânsito, será responsável por garantir que o cliente do Redis possa usar o protocolo TLS.
Confira a seguir exemplos de casos de uso para criptografia em trânsito:
- Proteja dados sensíveis em cache: se você usa o Memorystore para Redis Cluster para armazenar informações de alto valor, como tokens de sessão, informações de identificação pessoal (PII) ou chaves de API, a criptografia em trânsito impede que invasores com acesso à VPC acessem seus dados.
- Obedeça aos padrões do setor: muitos frameworks de segurança, incluindo a HIPAA para dados de saúde e o PCI DSS para dados financeiros, exigem que informações sensíveis sejam criptografadas em repouso e em trânsito para fins de compliance regulatório e do setor.
- Autenticação segura do Identity and Access Management (IAM): quando você usa a autenticação do IAM para gerenciar o acesso aos seus dados, o Memorystore for Redis Cluster exige o TLS para evitar a exposição ou o vazamento de tokens de autenticação durante a transmissão.
- Evitar ataques man-in-the-middle: o TLS autentica o endpoint do servidor usando autoridades certificadoras (CAs). As CAs protegem seu aplicativo contra falsificação de servidor e modificação não autorizada de dados à medida que os dados se movem entre o aplicativo e o Memorystore for Redis Cluster.
Pré-requisitos de criptografia em trânsito
Para usar a criptografia em trânsito com o Memorystore for Redis Cluster, você precisa do seguinte:
Um cliente Redis compatível com TLS ou um arquivo secundário de TLS de terceiros.
Certificados de CA instalados na máquina cliente que acessa seu cluster.
O TLS integrado era compatível apenas com o Redis, versões 6.0 e mais recentes. Como resultado, nem todas as bibliotecas de cliente do Redis são compatíveis com o TLS. Se você usa um cliente que não é compatível com TLS, recomendamos usar um plug-in de terceiros que ativa o TLS no cliente. Confira um exemplo de como se conectar a um cluster no Memorystore for Redis Cluster com a criptografia em trânsito ativada.
Autoridades certificadoras (CAs)
Um cluster que usa criptografia em trânsito tem autoridades de certificação (CAs) que autenticam os certificados das máquinas no cluster. O Memorystore for Redis Cluster permite escolher um modo de CA do servidor. O modo de CA determina qual hierarquia de CA é usada para emitir os certificados digitais de um cluster.
O Memorystore for Redis Cluster oferece os seguintes modos de CA:
- CA por instância: o Memorystore for Redis Cluster provisiona cada cluster com uma infraestrutura de CA exclusiva. Para acessar um cluster com segurança, configure os clientes para confiar nessa hierarquia de CA. Isso envolve o download e a instalação de certificados de CA em cada cliente que acessa o cluster.
- CA compartilhada: uma infraestrutura de CA gerenciada e regionalizada. Para cada região, é possível fazer o download de um único pacote de certificados de CA. Esse pacote é válido para todos os clusters localizados em uma região que você configura para usar a CA compartilhada. O uso de uma CA compartilhada reduz o número de certificados que os clientes precisam gerenciar.
- CA gerenciada pelo cliente: use seu próprio pool de CA hospedado no Certificate Authority Service. Se os aplicativos cliente estiverem configurados para confiar nessa AC, eles poderão se conectar a um cluster sem que você precise baixar e instalar outros certificados. Isso dá mais controle e ajuda a atender aos requisitos de conformidade.
Rotação de certificado do servidor
Toda semana, o Memorystore para Redis Cluster realiza a rotação de certificados do lado do servidor para clusters que usam os modos de CA por instância, CA compartilhada e CA gerenciada pelo cliente. Os novos certificados de servidor se aplicam apenas a novas conexões, e as conexões atuais permanecem ativas durante essa rotação.
Além de o Memorystore for Redis Cluster realizar uma rotação semanal de certificados do lado do servidor, no modo de CA gerenciada pelo cliente, é possível fazer a rotação dos certificados sob demanda.
Impacto do desempenho da ativação da criptografia em trânsito
O recurso de criptografia em trânsito criptografa e descriptografa dados, o que é fornecido com uma sobrecarga de processamento. Como resultado, ativar a criptografia em trânsito pode reduzir o desempenho dos seus clientes. Além disso, ao usar criptografia em trânsito, cada conexão extra vem com um custo de recurso associado.
Para determinar a latência associada ao uso da criptografia em trânsito, compare o desempenho dos seus clientes. Para isso, compare o desempenho de um cluster com a criptografia em trânsito ativada e outro com ela desativada.
Diretrizes para melhorar a performance
Para melhorar a performance de um cluster, use as seguintes diretrizes:
Quando possível, diminua o número de conexões de cliente. Em vez de criar conexões de curta duração sob demanda, estabeleça e reutilize conexões de longa duração.
Aumente o tamanho do cluster.
Aumente os recursos de CPU da máquina host do cliente. Máquinas cliente com uma contagem maior de CPU geram melhor desempenho. Se você usa uma VM do Compute Engine, recomendamos que use clusters otimizados.
Diminua o tamanho do payload associado ao tráfego do cliente. Payloads maiores exigem mais idas e voltas.