Anda dapat mengenkripsi semua data yang berpindah antara aplikasi klien dan Memorystore for Valkey dengan aman. Ini adalah enkripsi dalam pengiriman. Dengan menggunakan enkripsi dalam transit, semua traffic Valkey dienkripsi melalui protokol Transport Layer Security (TLS). Tindakan ini memastikan bahwa semua data yang berpindah antara aplikasi Anda dan Memorystore untuk Valkey tetap bersifat rahasia dan tidak dimodifikasi.
Jika enkripsi dalam transit diaktifkan, klien Valkey akan berkomunikasi secara eksklusif melalui koneksi yang aman. Klien Valkey yang tidak dikonfigurasi untuk TLS akan diblokir. Jika memilih untuk menggunakan enkripsi dalam transit, Anda bertanggung jawab untuk memastikan bahwa klien Valkey Anda dapat menggunakan protokol TLS.
Berikut adalah contoh kasus penggunaan untuk menggunakan enkripsi saat transit:
- Melindungi data sensitif yang di-cache: Jika Anda menggunakan Memorystore untuk Valkey guna menyimpan informasi bernilai tinggi, seperti token sesi, Informasi Identitas Pribadi (PII), atau kunci API, maka enkripsi saat transit akan mencegah penyerang dengan akses VPC mengakses data Anda.
- Mematuhi standar industri: Banyak framework keamanan, termasuk HIPAA untuk data kesehatan dan PCI DSS untuk data keuangan, mewajibkan informasi sensitif dienkripsi saat dalam penyimpanan dan saat dikirim untuk tujuan kepatuhan terhadap peraturan dan industri.
- Autentikasi Identity and Access Management (IAM) yang aman: Saat Anda menggunakan autentikasi IAM untuk mengelola akses ke data Anda, Memorystore untuk Valkey memerlukan TLS untuk mencegah pemaparan atau kebocoran token autentikasi selama transmisi.
- Mencegah serangan man-in-the-middle: TLS mengautentikasi endpoint server menggunakan Otoritas Sertifikat (CA). CA melindungi aplikasi Anda dari spoofing server dan modifikasi data yang tidak sah saat data berpindah antara aplikasi Anda dan Memorystore untuk Valkey.
Prasyarat enkripsi dalam transit
Untuk menggunakan enkripsi saat transit dengan Memorystore for Valkey, Anda memerlukan hal-hal berikut:
Klien Valkey yang mendukung TLS atau sidecar TLS pihak ketiga.
Sertifikat CA yang diinstal di komputer klien yang mengakses instance Anda.
Tidak semua library klien Valkey mendukung TLS. Jika Anda menggunakan klien yang tidak mendukung TLS, sebaiknya gunakan plugin pihak ketiga yang mengaktifkan TLS untuk klien Anda. Anda dapat melihat contoh cara menghubungkan ke instance Cluster Mode Enabled atau Cluster Mode Disabled di Memorystore for Valkey yang mengaktifkan enkripsi saat transit.
Certificate Authority (CA)
Instance yang menggunakan enkripsi saat transit memiliki Certificate Authority (CA) yang mengautentikasi sertifikat mesin di instance. Memorystore for Valkey memungkinkan Anda memilih mode CA server. Mode CA menentukan hierarki CA mana yang digunakan untuk menerbitkan sertifikat digital untuk instance.
Memorystore for Valkey menawarkan mode CA berikut:
- CA per instance: Memorystore untuk Valkey menyediakan setiap instance dengan infrastruktur CA yang unik dan terpisah. Untuk mengakses instance secara aman, Anda harus mengonfigurasi klien agar memercayai hierarki CA ini. Hal ini melibatkan pendownloadan dan penginstalan sertifikat CA di setiap klien yang mengakses instance.
- CA Bersama: infrastruktur CA terkelola dan regional. Untuk setiap region, Anda dapat mendownload satu paket sertifikat CA. Paket ini berlaku untuk semua instance yang berada di region yang Anda konfigurasi untuk menggunakan CA bersama. Menggunakan CA bersama akan mengurangi jumlah sertifikat yang perlu dikelola klien. Mode CA ini tersedia dalam Pratinjau.
- CA yang dikelola pelanggan: gunakan kumpulan CA Anda sendiri yang dihosting di Certificate Authority Service. Jika aplikasi klien Anda dikonfigurasi untuk memercayai CA ini, aplikasi Anda dapat terhubung ke instance tanpa Anda harus mendownload dan menginstal sertifikat CA tambahan. Hal ini memberi Anda kontrol yang lebih besar dan membantu Anda memenuhi persyaratan kepatuhan. Mode CA ini tersedia dalam Pratinjau.
Rotasi sertifikat server
Setiap minggu, Memorystore untuk Valkey melakukan rotasi sertifikat sisi server untuk instance yang menggunakan mode CA per instance, CA bersama, dan CA yang dikelola pelanggan. Sertifikat server baru hanya berlaku untuk koneksi baru, dan koneksi yang ada tetap aktif selama rotasi ini.
Selain Memorystore for Valkey melakukan rotasi sertifikat sisi server mingguan, untuk mode CA yang dikelola pelanggan, Anda dapat merotasi sertifikat sesuai permintaan.
Dampak performa pengaktifan enkripsi saat proses pengiriman
Fitur enkripsi dalam pengiriman mengenkripsi dan mendekripsi data, yang disertai dengan overhead pemrosesan. Akibatnya, mengaktifkan enkripsi dalam transit dapat mengurangi performa klien Anda. Selain itu, saat Anda menggunakan enkripsi dalam transit, setiap koneksi tambahan akan dikenai biaya resource terkait.
Untuk menentukan latensi yang terkait dengan penggunaan enkripsi dalam transit, bandingkan performa klien Anda. Untuk melakukannya, lakukan tolok ukur performa instance yang mengaktifkan enkripsi dalam transit terhadap instance yang menonaktifkannya.
Panduan untuk meningkatkan performa
Untuk meningkatkan performa instance, gunakan panduan berikut:
Jika memungkinkan, kurangi jumlah koneksi klien. Daripada membuat koneksi singkat sesuai permintaan, buat dan gunakan kembali koneksi yang berjalan lama.
Perbesar ukuran instance.
Tingkatkan resource CPU mesin host klien Anda. Mesin klien dengan jumlah CPU yang lebih tinggi menghasilkan performa yang lebih baik. Jika Anda menggunakan VM Compute Engine, sebaiknya gunakan instance yang dioptimalkan.
Kurangi ukuran payload yang terkait dengan traffic klien Anda. Payload yang lebih besar memerlukan lebih banyak perjalanan bolak-balik.