Verschlüsselung während der Übertragung

Sie können alle Daten, die zwischen Ihren Clientanwendungen und Memorystore for Valkey übertragen werden, sicher verschlüsseln. Das ist die Verschlüsselung während der Übertragung. Durch die Verschlüsselung während der Übertragung wird der gesamte Valkey-Traffic über das Transport Layer Security-Protokoll (TLS) verschlüsselt. So bleiben alle Daten, die zwischen Ihren Anwendungen und Memorystore for Valkey übertragen werden, vertraulich und unverändert.

Wenn die Verschlüsselung während der Übertragung aktiviert ist, kommunizieren Valkey-Clients ausschließlich über eine sichere Verbindung. Valkey-Clients, die nicht für TLS konfiguriert sind, werden blockiert. Wenn Sie die Verschlüsselung während der Übertragung verwenden möchten, müssen Sie dafür sorgen, dass Ihr Valkey-Client das TLS-Protokoll verwenden kann.

Im Folgenden finden Sie einige Beispielanwendungsfälle für die Verwendung der Transitverschlüsselung:

  • Sensible Daten im Cache schützen: Wenn Sie Memorystore for Valkey zum Speichern wichtiger Informationen wie Sitzungstokens, personenidentifizierbarer Informationen oder API-Schlüssel verwenden, verhindert die In-Transit-Verschlüsselung, dass Angreifer mit VPC-Zugriff auf Ihre Daten zugreifen können.
  • Branchenstandards einhalten: Viele Sicherheitsframeworks, darunter HIPAA für das Gesundheitswesen und PCI DSS für Finanzdaten, schreiben vor, dass vertrauliche Informationen sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt werden müssen, um die Einhaltung von Vorschriften und Branchenstandards zu gewährleisten.
  • Sichere IAM-Authentifizierung (Identity and Access Management): Wenn Sie die IAM-Authentifizierung verwenden, um den Zugriff auf Ihre Daten zu verwalten, ist für Memorystore for Valkey TLS erforderlich, um die Offenlegung oder das Auslesen von Authentifizierungstokens während der Übertragung zu verhindern.
  • Person-in-the-Middle-Angriffe verhindern: TLS authentifiziert den Serverendpunkt mithilfe von Zertifizierungsstellen. Zertifizierungsstellen schützen Ihre Anwendung vor Server-Spoofing und unbefugter Datenänderung, wenn Daten zwischen Ihrer Anwendung und Memorystore for Valkey übertragen werden.

Voraussetzungen für die Verschlüsselung während der Übertragung

Für die Verwendung der Verschlüsselung während der Übertragung mit Memorystore for Valkey benötigen Sie Folgendes:

  1. Einen Valkey-Client, der TLS oder eine TLS-Sidecar-Datei eines Drittanbieters unterstützt.

  2. CA-Zertifikate, die auf dem Clientcomputer installiert sind, der auf Ihre Instanz zugreift.

Nicht jede Valkey-Clientbibliothek unterstützt TLS. Wenn Sie einen Client verwenden, der TLS nicht unterstützt, empfehlen wir die Verwendung eines Drittanbieter-Plug-ins, das TLS für Ihren Client aktiviert. Hier finden Sie ein Beispiel dafür, wie Sie eine Verbindung zu einer Memorystore for Valkey-Instanz mit aktiviertem Clustermodus oder deaktiviertem Clustermodus herstellen, für die die Verschlüsselung während der Übertragung aktiviert ist.

Zertifizierungsstellen (Certificate Authorities, CAs)

Eine Instanz, die während der Übertragung verwendet wird, hat Zertifizierungsstellen (Certificate Authorities, CAs), die die Zertifikate der Maschinen in der Instanz authentifizieren. Mit Memorystore for Valkey können Sie einen Server-CA-Modus auswählen. Der CA-Modus bestimmt, welche CA-Hierarchie zum Ausstellen der digitalen Zertifikate für eine Instanz verwendet wird.

Memorystore for Valkey bietet die folgenden CA-Modi:

  • CA pro Instanz: Memorystore for Valkey stellt für jede Instanz eine eigene, eindeutige CA-Infrastruktur bereit. Damit Sie sicher auf eine Instanz zugreifen können, müssen Sie Ihre Clients so konfigurieren, dass sie dieser CA-Hierarchie vertrauen. Dazu müssen Sie CA-Zertifikate auf jedem Client herunterladen und installieren, der auf die Instanz zugreift.
  • Gemeinsame Zertifizierungsstelle: eine verwaltete, regionalisierte CA-Infrastruktur. Für jede Region können Sie ein einzelnes CA-Zertifikatbündel herunterladen. Dieses Bundle ist für alle Instanzen in einer Region gültig, die Sie für die Verwendung der freigegebenen Zertifizierungsstelle konfigurieren. Die Verwendung einer freigegebenen Zertifizierungsstelle reduziert die Anzahl der Zertifikate, die Clients verwalten müssen.
  • Vom Kunden verwaltete CA: Verwenden Sie Ihren eigenen CA-Pool, der im Certificate Authority Service gehostet wird. Wenn Ihre Clientanwendungen so konfiguriert sind, dass sie dieser Zertifizierungsstelle vertrauen, können sie eine Verbindung zu einer Instanz herstellen, ohne dass Sie zusätzliche Zertifizierungsstellenzertifikate herunterladen und installieren müssen. So haben Sie mehr Kontrolle und können Compliance-Anforderungen besser erfüllen.

Rotation des Serverzertifikats

Memorystore for Valkey führt wöchentlich eine serverseitige Zertifikatsrotation für Instanzen durch, die die Modi „CA pro Instanz“, „Gemeinsame CA“ und „Vom Kunden verwaltete CA“ verwenden. Neue Serverzertifikate gelten nur für neue Verbindungen. Bestehende Verbindungen bleiben während dieser Rotation aktiv.

Neben der wöchentlichen serverseitigen Zertifikatsrotation durch Memorystore for Valkey können Sie im Modus „Kundenverwaltete CA“ die Zertifikate bei Bedarf rotieren.

Auswirkungen der Verschlüsselung während der Übertragung auf die Leistung

Die Funktion zur Verschlüsselung während der Übertragung verschlüsselt und entschlüsselt Daten, was mit einem Verarbeitungsaufwand verbunden ist. Daher kann die Aktivierung der Verschlüsselung während der Übertragung die Leistung Ihrer Clients beeinträchtigen. Außerdem werden bei der Verwendung der Verschlüsselung während der Übertragung für jede zusätzliche Verbindung Kosten für die Ressourcen berechnet.

Wenn Sie die Latenz bei der Verwendung der Verschlüsselung während der Übertragung ermitteln möchten, vergleichen Sie die Leistung Ihrer Clients. Vergleichen Sie dazu die Leistung einer Instanz, für die die Verschlüsselung während der Übertragung aktiviert ist, mit der Leistung einer Instanz, für die sie deaktiviert ist.

Richtlinien zur Leistungsverbesserung

So verbessern Sie die Leistung einer Instanz:

  • Verringern Sie die Anzahl der Clientverbindungen nach Möglichkeit. Richten Sie lang andauernde Verbindungen ein und verwenden Sie sie, anstatt kurzlebige Verbindungen zu erstellen.

  • Erhöhen Sie die Größe der Instanz.

  • Erhöhen Sie die CPU-Ressourcen des Hostcomputers Ihres Clients. Clientmaschinen mit einer höheren CPU-Anzahl führen zu einer besseren Leistung. Wenn Sie eine Compute Engine-VM verwenden, empfehlen wir die Verwendung optimierter Instanzen.

  • Verringern Sie die Größe der Nutzlast, die mit dem Traffic Ihres Clients verknüpft ist. Größere Nutzlasten erfordern mehr Umläufe.