Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על הצפנה בזמן ההעברה

אתם יכולים להצפין בצורה מאובטחת את כל הנתונים שמועברים בין אפליקציות הלקוח לבין Memorystore for Valkey. זוהי הצפנה בזמן ההעברה. באמצעות הצפנה בזמן ההעברה, כל התעבורה ב-Valkey מוצפנת באמצעות פרוטוקול Transport Layer Security ‏ (TLS). כך מובטח שכל הנתונים שעוברים בין האפליקציות שלכם לבין Memorystore for Valkey יישארו סודיים ולא ישונו.

כשמופעלת הצפנה במעבר, לקוחות Valkey מתקשרים רק באמצעות חיבור מאובטח. לקוחות Valkey שלא מוגדרים ל-TLS נחסמים. אם בוחרים להשתמש בהצפנה במעבר, אתם אחראים לוודא שלקוח Valkey יכול להשתמש בפרוטוקול TLS.

הנה כמה תרחישים לדוגמה לשימוש בהצפנה במעבר:

הגנה על נתונים רגישים במטמון: אם אתם משתמשים ב-Memorystore for Valkey כדי לאחסן מידע בעל ערך גבוה, כמו טוקנים של סשנים, פרטים אישיים מזהים (PII) או מפתחות API, ההצפנה במעבר מונעת מהאקרים עם גישה ל-VPC לגשת לנתונים שלכם.
עמידה בתקנים בתחום: מסגרות אבטחה רבות, כולל HIPAA בתחום הבריאות ו-PCI DSS לנתונים פיננסיים, מחייבות הצפנה של מידע רגיש בזמן שהוא לא פעיל ובזמן ההעברה, למטרות רגולטוריות ולעמידה בתקנים בתחום.
אימות מאובטח של ניהול זהויות והרשאות גישה (IAM): כשמשתמשים באימות IAM כדי לנהל את הגישה לנתונים, Memorystore for Valkey דורש TLS כדי למנוע חשיפה או דליפה של טוקנים לאימות במהלך השידור.
מניעת מתקפות מסוג 'אדם באמצע': פרוטוקול TLS מאמת את נקודת הקצה של השרת באמצעות רשויות אישורים (CA). רשויות אישורים מגנות על האפליקציה מפני זיוף שרתים ושינוי לא מורשה של נתונים בזמן שהנתונים עוברים בין האפליקציה לבין Memorystore for Valkey.

דרישות מוקדמות להצפנה בזמן העברה

כדי להשתמש בהצפנה במעבר עם Memorystore for Valkey, צריך:

לקוח Valkey שתומך ב-TLS או ב-TLS sidecar של צד שלישי.
אישורי CA שמותקנים במכונת הלקוח שמקבלת גישה למופע.

לא כל ספריית לקוח של Valkey תומכת ב-TLS. אם אתם משתמשים בלקוח שלא תומך ב-TLS, מומלץ להשתמש בתוסף של צד שלישי שמפעיל TLS עבור הלקוח. אפשר לראות דוגמה לאופן ההתחברות למופע של Memorystore for Valkey עם הצפנה במעבר שהופעלה במצב אשכול מופעל או במצב אשכול מושבת.

רשויות אישורים (CA)

במופע שמשתמש בהצפנה במעבר יש רשויות אישורים (CA) שמאמתות את האישורים של המכונות במופע. ב-Memorystore for Valkey אפשר לבחור מצב CA של שרת. מצב ה-CA קובע באיזו היררכיית CA נעשה שימוש להנפקת האישורים הדיגיטליים עבור מופע.

‫Memorystore for Valkey מציע את מצבי ה-CA הבאים:

CA לכל מופע: שירות Memorystore for Valkey מקצה לכל מופע תשתית CA ייחודית משלו. כדי לגשת למופע בצורה מאובטחת, צריך להגדיר את הלקוחות כך שיסמכו על היררכיית ה-CA הזו. זה כולל הורדה והתקנה של אישורי CA בכל לקוח שמקבל גישה למופע.
רשות אישורים משותפת (CA): תשתית מנוהלת של רשות אישורים אזורית. לכל אזור אפשר להוריד חבילת אישורים של רשות אישורים. החבילה הזו תקפה לכל המקרים שנמצאים באזור שהגדרתם לשימוש ברשות האישורים המשותפת. שימוש ברשות אישורים משותפת מצמצם את מספר האישורים שהלקוחות צריכים לנהל.
רשות אישורים בניהול הלקוח: שימוש במאגר רשויות אישורים משלכם שמארח Certificate Authority Service. אם אפליקציות הלקוח שלכם מוגדרות לתת אמון לרשות האישורים הזו, האפליקציות יכולות להתחבר למופע בלי שתצטרכו להוריד ולהתקין אישורים נוספים של רשות האישורים. כך תוכלו לשלוט יותר בנתונים ולעמוד בדרישות התאימות.

רוטציה של אישורי שרת

בכל שבוע, שירות Memorystore for Valkey מבצע רוטציה של אישורים בצד השרת עבור מופעים שמשתמשים במצבים של רשות אישורים לכל מופע, רשות אישורים משותפת ורשות אישורים בניהול הלקוח. אישורים חדשים של השרת חלים רק על חיבורים חדשים, והחיבורים הקיימים ממשיכים לפעול במהלך הרוטציה הזו.

בנוסף לרוטציה השבועית של האישורים בצד השרת שמבוצעת על ידי Memorystore for Valkey, במצב CA בניהול הלקוח אפשר לבצע רוטציה של האישורים לפי דרישה.

השפעה על הביצועים של הפעלת הצפנה בזמן ההעברה

תכונת ההצפנה בזמן ההעברה מצפינה ומפענחת נתונים, ולכן יש עלויות עיבוד נוספות. כתוצאה מכך, הפעלת הצפנה במהלך ההעברה עשויה להפחית את הביצועים של הלקוחות שלכם. בנוסף, כשמשתמשים בהצפנה בזמן העברה, כל חיבור נוסף כרוך בעלות משאב משויכת.

כדי לקבוע את זמן האחזור שקשור לשימוש בהצפנה בזמן העברה, משווים את הביצועים של הלקוחות. לשם כך, משווים את הביצועים של מופע שבו ההצפנה בזמן העברה מופעלת לבין מופע שבו היא מושבתת.

הנחיות לשיפור הביצועים

כדי לשפר את הביצועים של מופע, מומלץ לפעול לפי ההנחיות הבאות:

אם אפשר, כדאי להקטין את מספר החיבורים של הלקוחות. במקום ליצור חיבורים קצרים לפי דרישה, כדאי ליצור חיבורים ארוכים ולעשות בהם שימוש חוזר.
הגדלת הגודל של המופע.
להגדיל את משאבי ה-CPU של המכונה המארחת של הלקוח. מכונות לקוח עם מספר ליבות CPU גבוה יותר יניבו ביצועים טובים יותר. אם אתם משתמשים במכונת VM ב-Compute Engine, מומלץ להשתמש במכונות אופטימליות.
צריך להקטין את גודל המטען הייעודי (payload) שמשויך לתנועה של הלקוח. מטען ייעודי גדול יותר דורש יותר הלוך ושוב.