Información acerca de la encriptación en tránsito

Puedes encriptar de forma segura todos los datos que se transfieren entre tus aplicaciones cliente y Memorystore para Valkey. Esto se conoce como encriptación en tránsito. Cuando usas la encriptación en tránsito, todo el tráfico de Valkey se encripta a través del protocolo de seguridad de la capa de transporte (TLS). Esto garantiza que todos los datos que se transfieren entre tus aplicaciones y Memorystore para Valkey permanezcan confidenciales y sin alteraciones.

Cuando se habilita la encriptación en tránsito, los clientes de Valkey se comunican exclusivamente a través de una conexión segura. Se bloquean los clientes de Valkey que no están configurados para TLS. Si eliges usar la encriptación en tránsito, serás responsable de garantizar que tu cliente de Valkey pueda usar el protocolo TLS.

A continuación, se muestran ejemplos de casos de uso para la encriptación en tránsito:

  • Protege los datos sensibles almacenados en caché: Si usas Memorystore para Valkey para almacenar información valiosa, como tokens de sesión, información de identificación personal (PII) o claves de API, el cifrado en tránsito evita que los atacantes con acceso a la VPC accedan a tus datos.
  • Cumple con los estándares de la industria: Muchos marcos de seguridad, incluidos HIPAA para el sector de la salud y PCI DSS para los datos financieros, exigen que la información sensible se encripte tanto en reposo como en tránsito para cumplir con los requisitos reglamentarios y de la industria.
  • Autenticación segura de Identity and Access Management (IAM): Cuando usas la autenticación de IAM para administrar el acceso a tus datos, Memorystore para Valkey requiere TLS para evitar la exposición o la filtración de tokens de autenticación durante la transmisión.
  • Evita ataques de intermediarios: TLS autentica el extremo del servidor con autoridades de certificación (AC). Las AC protegen tu aplicación contra la suplantación de identidad del servidor y la modificación no autorizada de datos a medida que estos se transfieren entre tu aplicación y Memorystore para Valkey.

Requisitos previos para la encriptación en tránsito

Para usar la encriptación en tránsito con Memorystore for Valkey, necesitas lo siguiente:

  1. Un cliente de Valkey que admita TLS o un archivo adicional de TLS de terceros

  2. Certificados de la CA instalados en la máquina cliente que accede a tu instancia

No todas las biblioteca cliente de Valkey admiten TLS. Si usas un cliente que no admite TLS, te recomendamos usar un complemento de terceros que habilite TLS para tu cliente. Puedes ver un ejemplo de cómo conectarte a una instancia con el modo de clúster habilitado o con el modo de clúster inhabilitado en Memorystore para Valkey que tiene habilitada la encriptación en tránsito.

Autoridades certificadoras (AC)

Una instancia que usa la encriptación en tránsito tiene autoridades certificadoras (AC) que autentican los certificados de las máquinas en la instancia. Memorystore for Valkey te permite elegir un modo de CA del servidor. El modo de CA determina qué jerarquía de CA se usa para emitir los certificados digitales de una instancia.

Memorystore para Valkey ofrece los siguientes modos de CA:

  • CA por instancia: Memorystore para Valkey aprovisiona cada instancia con su propia infraestructura de CA única. Para acceder a una instancia de forma segura, debes configurar tus clientes para que confíen en esta jerarquía de CA. Esto implica descargar e instalar los certificados de la AC en cada cliente que acceda a la instancia.
  • CA compartida: Es una infraestructura de CA administrada y regionalizada. Para cada región, puedes descargar un solo paquete de certificados de CA. Este paquete es válido para todas las instancias ubicadas en una región que configures para usar la CA compartida. El uso de una CA compartida reduce la cantidad de certificados que los clientes deben administrar.
  • CA administrada por el cliente: Usa tu propio grupo de CA alojado en Certificate Authority Service. Si tus aplicaciones cliente están configuradas para confiar en esta CA, tus aplicaciones podrán conectarse a una instancia sin que tengas que descargar e instalar certificados de CA adicionales. Esto te brinda mayor control y te ayuda a cumplir con los requisitos de cumplimiento.

Rotación del certificado del servidor

Cada semana, Memorystore para Valkey realiza la rotación de certificados del servidor para las instancias que usan los modos de CA por instancia, CA compartida y CA administrada por el cliente. Los certificados de servidor nuevos solo se aplican a las conexiones nuevas, y las conexiones existentes permanecen activas durante esta rotación.

Además de que Memorystore para Valkey realiza una rotación semanal de certificados del servidor, en el modo de CA administrada por el cliente, puedes rotar los certificados a pedido.

Consecuencias en el rendimiento de habilitar la encriptación en tránsito

La función de encriptación en tránsito encripta y desencripta datos, lo que genera una sobrecarga de procesamiento. Como resultado, habilitar la encriptación en tránsito puede reducir el rendimiento de tus clientes. Además, cuando usas la encriptación en tránsito, cada conexión adicional genera un costo de recursos asociado.

Para determinar la latencia asociada con el uso de la encriptación en tránsito, compara el rendimiento de tus clientes. Para ello, compara el rendimiento de una instancia que tiene habilitada la encriptación en tránsito con el de una instancia que la tiene desactivada.

Lineamientos para mejorar el rendimiento

Para mejorar el rendimiento de una instancia, sigue los lineamientos que se indican a continuación:

  • Cuando sea posible, disminuye la cantidad de conexiones de clientes. En lugar de crear conexiones de corta duración según demanda, establece y reutiliza conexiones de larga duración.

  • Aumenta el tamaño de la instancia.

  • Aumenta los recursos de CPU de la máquina anfitrión del cliente. Las máquinas cliente con un mayor recuento de CPU ofrecen un mejor rendimiento. Si usas una VM de Compute Engine, te recomendamos que uses instancias optimizadas.

  • Disminuye el tamaño de la carga útil asociada con el tráfico de tu cliente. Las cargas útiles más grandes requieren más viajes de ida y vuelta.