Puedes encriptar de forma segura todos los datos que se transfieren entre tus aplicaciones cliente y Memorystore for Valkey. Esto se conoce como encriptación en tránsito. Con la encriptación en tránsito, todo el tráfico de Valkey se encripta a través del protocolo de seguridad de la capa de transporte (TLS). Esto garantiza que todos los datos que se transfieran entre tus aplicaciones y Memorystore para Valkey sigan siendo confidenciales y no se alteren.
Cuando se habilita la encriptación en tránsito, los clientes de Valkey se comunican exclusivamente a través de una conexión segura. Se bloquearán los clientes de Valkey que no estén configurados para TLS. Si eliges usar la encriptación en tránsito, serás responsable de garantizar que tu cliente de Valkey pueda usar el protocolo TLS.
A continuación, se muestran ejemplos de casos de uso para la encriptación en tránsito:
- Protege los datos sensibles almacenados en caché: Si usas Memorystore for Valkey para almacenar información valiosa, como tokens de sesión, información de identificación personal (PII) o claves de API, la encriptación en tránsito evita que los atacantes con acceso a la VPC accedan a tus datos.
- Cumple con los estándares de la industria: Muchos marcos de seguridad, como HIPAA para el sector de la salud y PCI DSS para los datos financieros, exigen que la información sensible se encripte tanto en reposo como en tránsito para cumplir con las reglamentaciones y los estándares de la industria.
- Autenticación segura de Identity and Access Management (IAM): Cuando usas la autenticación de IAM para administrar el acceso a tus datos, Memorystore for Valkey requiere TLS para evitar la exposición o la filtración de tokens de autenticación durante la transmisión.
- Evita ataques de intermediarios: TLS autentica el extremo del servidor con autoridades certificadoras (CA). Las CA protegen tu aplicación contra la suplantación de servidores y la modificación no autorizada de datos a medida que estos se mueven entre tu aplicación y Memorystore para Valkey.
Requisitos previos para la encriptación en tránsito
Para usar la encriptación en tránsito con Memorystore for Valkey, necesitas lo siguiente:
Un cliente de Valkey que admita TLS o un archivo adicional de TLS de terceros
Certificados de la CA instalados en la máquina cliente que accede a tu instancia
No todas las biblioteca cliente de Valkey admiten TLS. Si usas un cliente que no admite TLS, te recomendamos usar un complemento de terceros que habilite TLS para tu cliente. Puedes ver un ejemplo de cómo conectarte a una instancia de Memorystore for Valkey con modo de clúster habilitado o modo de clúster inhabilitado que tiene habilitada la encriptación en tránsito.
Autoridades certificadoras (CA)
Una instancia que usa la encriptación en tránsito tiene autoridades certificadoras (AC) que autentican los certificados de las máquinas en la instancia. Memorystore para Valkey te permite elegir un modo de CA del servidor. El modo de CA determina qué jerarquía de CA se usa para emitir los certificados digitales de una instancia.
Memorystore para Valkey ofrece los siguientes modos de CA:
- CA por instancia: Memorystore for Valkey aprovisiona cada instancia con su propia infraestructura de CA única. Para acceder a una instancia de forma segura, debes configurar tus clientes para que confíen en esta jerarquía de CA. Esto implica descargar e instalar los certificados de la AC en cada cliente que acceda a la instancia.
- AC compartida: Es una infraestructura de AC administrada y regionalizada. Para cada región, puedes descargar un solo paquete de certificados de CA. Este paquete es válido para todas las instancias ubicadas en una región que configures para usar la AC compartida. El uso de una AC compartida reduce la cantidad de certificados que los clientes deben administrar.
- CA administrada por el cliente: Usa tu propio grupo de CA alojado en Certificate Authority Service. Si tus aplicaciones cliente están configuradas para confiar en esta AC, tus aplicaciones podrán conectarse a una instancia sin que tengas que descargar e instalar certificados de AC adicionales. Esto te brinda mayor control y te ayuda a cumplir con los requisitos de cumplimiento.
Rotación del certificado del servidor
Cada semana, Memorystore para Valkey realiza la rotación de certificados del servidor para las instancias que usan los modos de CA por instancia, CA compartida y CA administrada por el cliente. Los certificados de servidor nuevos se aplican solo a las conexiones nuevas, y las conexiones existentes permanecen activas durante esta rotación.
Además de que Memorystore for Valkey realiza una rotación semanal de certificados del servidor, en el modo de AC administrada por el cliente, puedes rotar los certificados a pedido.
Consecuencias en el rendimiento de habilitar la encriptación en tránsito
La función de encriptación en tránsito encripta y desencripta datos, lo que conlleva una sobrecarga de procesamiento. Como resultado, habilitar la encriptación en tránsito puede reducir el rendimiento de tus clientes. Además, cuando usas la encriptación en tránsito, cada conexión adicional incluye un costo de recurso asociado.
Para determinar la latencia asociada con el uso de la encriptación en tránsito, compara el rendimiento de tus clientes. Para ello, compara el rendimiento de una instancia que tiene habilitada la encriptación en tránsito con el de una instancia que la tiene desactivada.
Lineamientos para mejorar el rendimiento
Para mejorar el rendimiento de una instancia, sigue los lineamientos que se indican a continuación:
Cuando sea posible, disminuye la cantidad de conexiones de clientes. En lugar de crear conexiones de corta duración según demanda, establece y reutiliza conexiones de larga duración.
Aumenta el tamaño de la instancia.
Aumenta los recursos de CPU de la máquina anfitrión del cliente. Las máquinas cliente con un mayor recuento de CPU ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, te recomendamos que uses instancias optimizadas.
Disminuye el tamaño de la carga útil asociada con el tráfico de tu cliente. Las cargas útiles más grandes requieren más recorridos de ida y vuelta.