您可以安全地加密用戶端應用程式與 Memorystore for Redis Cluster 之間的所有資料。這就是傳輸加密。使用傳輸中加密功能後,所有 Redis 流量都會透過傳輸層安全標準 (TLS) 通訊協定加密。這可確保應用程式與 Memorystore for Redis Cluster 之間的所有資料傳輸作業,都維持機密且未遭竄改。
啟用傳輸中資料加密功能後,Redis 用戶端僅會透過安全連線進行通訊。系統會封鎖未設定 TLS 的 Redis 用戶端。如果您選擇使用傳輸中加密,則必須確保 Redis 用戶端可以使用 TLS 通訊協定。
以下是使用傳輸中加密的範例用途:
- 保護快取中的機密資料:如果您使用 Memorystore for Redis Cluster 儲存高價值資訊 (例如工作階段符記、個人識別資訊 (PII) 或 API 金鑰),傳輸中加密功能可防止攻擊者透過虛擬私有雲存取您的資料。
- 符合業界標準:許多安全架構 (包括醫療保健業的 HIPAA 和金融資料的 PCI DSS) 都規定,為了符合法規和業界規範,機密資訊必須在靜態和傳輸中加密。
- 安全的身分與存取權管理 (IAM) 驗證:使用 IAM 驗證管理資料存取權時,Memorystore for Redis Cluster 會要求使用 TLS,防止驗證權杖在傳輸期間外洩。
- 防範中間人攻擊:TLS 會使用憑證授權單位 (CA) 驗證伺服器端點。當資料在應用程式和 Memorystore for Redis Cluster 之間移動時,CA 可保護應用程式免於伺服器詐欺和未經授權的資料修改。
傳輸中資料加密的必要條件
如要搭配使用傳輸中加密功能和 Memorystore for Redis Cluster,您需要:
支援 TLS 的 Redis 用戶端或第三方 TLS Sidecar。
安裝在存取叢集的用戶端電腦上的 CA 憑證。
內建 TLS 僅支援 Redis 6.0 以上版本。因此,並非所有 Redis 用戶端程式庫都支援 TLS。如果您使用的用戶端不支援 TLS,建議使用第三方外掛程式,為用戶端啟用 TLS。如要瞭解如何連線至已啟用傳輸中加密機制的 Memorystore for Redis Cluster 叢集,請參閱範例。
憑證授權單位 (CA)
使用傳輸中加密的叢集具有憑證授權單位 (CA),可驗證叢集中機器的憑證。Memorystore for Redis Cluster 可讓您選擇伺服器 CA 模式。CA 模式會決定用來核發叢集數位憑證的 CA 階層。
Memorystore for Redis Cluster 提供下列 CA 模式:
- 每個執行個體都有專屬的 CA: Memorystore for Redis Cluster 會為每個叢集佈建專屬的 CA 基礎架構。如要安全存取叢集,您必須設定用戶端,信任這個 CA 階層。這包括在會存取叢集的各個用戶端下載並安裝 CA 憑證。
- 共用 CA:代管的區域化 CA 基礎架構。您可以為每個區域下載單一 CA 憑證套件。如果您設定叢集使用共用 CA,這個套件就適用於您設定使用共用 CA 的區域中的所有叢集。使用共用 CA 可以減少用戶端需要管理的憑證數量。這個 CA 模式適用於預先發布版。
- 客戶自行管理的 CA:使用託管於憑證授權單位服務的自有 CA 集區。如果用戶端應用程式已設定為信任這個 CA,應用程式就能連線至叢集,無須下載及安裝額外的 CA 憑證。這可讓您進一步掌控,並協助您符合法規遵循要求。這個 CA 模式適用於預先發布版。
伺服器憑證輪替
對於使用執行個體專屬 CA、共用 CA 和客戶管理 CA 模式的叢集,Memorystore for Redis Cluster 每週都會進行伺服器端憑證輪替。新伺服器憑證只會套用至新的連線,現有連線在輪替期間仍會保持連線狀態。
除了 Memorystore for Redis Cluster 每週會進行伺服器端憑證輪替外,在客戶管理的 CA 模式下,您也可以視需要輪替憑證。
啟用傳輸中資料加密功能對效能的影響
傳輸中加密功能會加密及解密資料,因此會產生處理負擔。因此,啟用傳輸中加密功能可能會降低用戶端效能。此外,使用傳輸中資料加密時,每個額外連線都會產生相關資源費用。
如要判斷使用傳輸中加密功能造成的延遲,請比較用戶端的效能。如要進行這項操作,請針對啟用傳輸中加密的叢集,與停用傳輸中加密的叢集,分別進行效能基準測試。
提升效能的指南
如要提升叢集效能,請遵循下列指南:
請盡可能減少用戶端連線數量。請建立並重複使用長期連線,而非建立短期連線。
增加叢集的大小。
增加用戶端主體機器的 CPU 資源。CPU 數量較多的用戶端電腦效能較佳。如果您使用 Compute Engine VM,建議使用最佳化叢集。
減少與用戶端流量相關聯的酬載大小。較大的酬載需要更多往返行程。