您可以安全地加密用戶端應用程式與 Memorystore for Redis Cluster 之間的所有資料,這就是傳輸中資料加密。使用傳輸中資料加密時,所有 Redis 流量都會透過傳輸層安全標準 (TLS) 通訊協定加密,確保應用程式與 Memorystore for Redis Cluster 之間的所有資料都維持機密性,且不會遭到竄改。
啟用傳輸中資料加密功能後,Redis 用戶端僅會透過安全連線進行通訊。系統會封鎖未設定 TLS 的 Redis 用戶端。如果您選擇使用傳輸中資料加密功能,請確保 Redis 用戶端可以使用 TLS 通訊協定。
以下是使用傳輸中加密的範例用途:
- 保護快取中的機密資料:如果您使用 Memorystore for Redis Cluster 儲存高價值資訊 (例如工作階段權杖、個人識別資訊 (PII) 或 API 金鑰),傳輸中加密功能可防止攻擊者透過虛擬私有雲存取您的資料。
- 符合業界標準:許多安全架構 (包括醫療保健業的《健康保險流通與責任法案》和金融資料的 PCI DSS) 都規定,為了符合法規和業界標準,機密資訊必須在靜態和傳輸中加密。
- 安全的身分與存取權管理 (IAM) 驗證:使用 IAM 驗證管理資料存取權時,Memorystore for Redis Cluster 會要求使用 TLS,防止驗證權杖在傳輸期間外洩。
- 防範中間人攻擊:TLS 會使用憑證授權單位 (CA) 驗證伺服器端點,當資料在應用程式和 Memorystore for Redis Cluster 之間移動時,CA 可保護應用程式免於伺服器詐欺和未經授權的資料修改。
傳輸中資料加密的必要條件
如要搭配使用傳輸中資料加密功能和 Memorystore for Redis Cluster,您需要:
支援 TLS 的 Redis 用戶端,或第三方 TLS Sidecar。
安裝在存取叢集的用戶端電腦上的 CA 憑證。
內建 TLS 僅支援 Redis 6.0 以上版本。因此,並非所有 Redis 用戶端程式庫都支援 TLS。如果您使用的用戶端不支援 TLS,建議使用第三方外掛程式為用戶端啟用 TLS。如要瞭解如何連線至已啟用傳輸中加密機制的 Memorystore for Redis Cluster 叢集,請參閱範例。
憑證授權單位 (CA)
使用傳輸中加密的叢集會透過憑證授權單位 (CA),驗證叢集內機器的憑證。Memorystore for Redis Cluster 可讓您選擇伺服器 CA 模式。CA 模式會決定用來核發叢集數位憑證的 CA 階層。
Memorystore for Redis Cluster 提供下列 CA 模式:
- 每個執行個體都有專屬的 CA: Memorystore for Redis Cluster 會為每個叢集佈建專屬的 CA 基礎架構。如要安全存取叢集,您必須將用戶端設定為信任這個 CA 階層。這包括在會存取叢集的各個用戶端下載並安裝 CA 憑證。
- 共用 CA:受管理的區域性 CA 基礎架構。您可以為每個區域下載單一 CA 憑證套件。這個套件適用於您設定使用共用 CA 的區域中所有叢集。使用共用 CA 可減少用戶端需要管理的憑證數量。
- 客戶管理的 CA:使用託管於憑證授權單位服務的自有 CA 集區。如果用戶端應用程式已設定為信任這個 CA,應用程式即可連線至叢集,無須下載及安裝額外的 CA 憑證。讓您進一步掌控資料,並符合法規遵循要求。
伺服器憑證輪替
每週,Memorystore for Redis Cluster 會為使用每個執行個體 CA、共用 CA 和客戶管理 CA 模式的叢集,進行伺服器端憑證輪換。新的伺服器憑證僅適用於新連線,現有連線在輪換期間會保持連線狀態。
除了 Memorystore for Redis Cluster 每週會進行伺服器端憑證輪替外,在客戶管理的 CA 模式下,您也可以視需要輪替憑證。
啟用傳輸中資料加密功能對效能的影響
傳輸中資料加密功能會加密及解密資料,這會造成處理負擔。因此,啟用傳輸中資料加密功能可能會降低用戶端效能。此外,使用傳輸中資料加密功能時,每個額外連線都會產生相關的資源成本。
如要判斷使用傳輸中加密功能造成的延遲,請比較用戶端的效能。方法是針對啟用傳輸中加密功能的叢集,以及停用這項功能的叢集,分別進行效能基準測試。
提升效能的指南
如要提升叢集效能,請遵循下列指南:
請盡可能減少用戶端連線數量。請建立並重複使用長期連線,而非建立短期連線。
增加叢集的大小。
增加用戶端主體機器的 CPU 資源。CPU 數量較多的用戶端電腦效能較佳。如果您使用 Compute Engine VM,建議使用最佳化叢集。
減少與用戶端流量相關聯的酬載大小。酬載越大,需要的往返次數就越多。