Anda dapat mengenkripsi semua data yang berpindah antara aplikasi klien dan Memorystore for Valkey dengan aman. Ini adalah enkripsi dalam pengiriman. Dengan menggunakan enkripsi dalam pengiriman, semua traffic Valkey dienkripsi melalui protokol Transport Layer Security (TLS). Hal ini memastikan bahwa semua data yang berpindah antara aplikasi dan Memorystore for Valkey tetap bersifat rahasia dan tidak dirusak.
Saat enkripsi dalam pengiriman diaktifkan, klien Valkey berkomunikasi secara eksklusif melalui koneksi yang aman. Klien Valkey yang tidak dikonfigurasi untuk TLS akan diblokir. Jika Anda memilih untuk menggunakan enkripsi dalam pengiriman, Anda bertanggung jawab untuk memastikan bahwa klien Valkey dapat menggunakan protokol TLS.
Berikut adalah contoh kasus penggunaan untuk menggunakan enkripsi dalam pengiriman:
- Melindungi data cache sensitif: Jika Anda menggunakan Memorystore for Valkey untuk menyimpan informasi bernilai tinggi, seperti token sesi, Informasi Identitas Pribadi (PII), atau kunci API, enkripsi dalam pengiriman akan mencegah penyerang dengan akses VPC mengakses data Anda.
- Mematuhi standar industri: Banyak framework keamanan, termasuk HIPAA untuk data kesehatan dan PCI DSS untuk data keuangan, mewajibkan informasi sensitif dienkripsi saat dalam penyimpanan dan dalam pengiriman untuk tujuan kepatuhan terhadap peraturan dan industri.
- Mengamankan autentikasi Pengelolaan Akses dan Identitas (IAM): Saat Anda menggunakan autentikasi IAM untuk mengelola akses ke data, Memorystore for Valkey memerlukan TLS untuk mencegah pemaparan atau kebocoran token autentikasi selama transmisi.
- Mencegah serangan man-in-the-middle: TLS mengautentikasi endpoint server menggunakan Certificate Authority (CA). CA melindungi aplikasi Anda dari spoofing server dan modifikasi data yang tidak sah saat data berpindah antara aplikasi dan Memorystore for Valkey.
Prasyarat enkripsi dalam pengiriman
Untuk menggunakan enkripsi dalam pengiriman dengan Memorystore for Valkey, Anda memerlukan hal berikut:
Klien Valkey yang mendukung TLS atau sidecar TLS pihak ketiga.
Sertifikat CA yang diinstal di mesin klien yang mengakses instance Anda.
Tidak semua library klien Valkey mendukung TLS. Jika Anda menggunakan klien yang tidak mendukung TLS, sebaiknya gunakan plugin pihak ketiga yang mengaktifkan TLS untuk klien Anda. Anda dapat melihat contoh cara terhubung ke instance Cluster Mode Enabled atau Cluster Mode Disabled di Memorystore for Valkey yang mengaktifkan enkripsi dalam pengiriman.
Certificate Authority (CA)
Instance yang menggunakan enkripsi dalam pengiriman memiliki Certificate Authority (CA) yang mengautentikasi sertifikat mesin di instance. Memorystore for Valkey memungkinkan Anda memilih mode CA server. Mode CA menentukan hierarki CA mana yang digunakan untuk menerbitkan sertifikat digital untuk instance.
Memorystore for Valkey menawarkan mode CA berikut:
- CA per-instance: Memorystore for Valkey menyediakan setiap instance dengan infrastruktur CA uniknya sendiri. Untuk mengakses instance dengan aman, Anda harus mengonfigurasi klien agar memercayai hierarki CA ini. Hal ini melibatkan mendownload dan menginstal sertifikat CA di setiap klien yang mengakses instance.
- CA bersama: infrastruktur CA terkelola, dan regional. Untuk setiap region, Anda dapat mendownload satu paket sertifikat CA. Paket ini berlaku untuk semua instance yang berada di region yang Anda konfigurasi untuk menggunakan CA bersama. Menggunakan CA bersama akan mengurangi jumlah sertifikat yang perlu dikelola klien.
- **CA yang dikelola pelanggan**: gunakan kumpulan CA Anda sendiri yang dihosting di Certificate Authority Service. Jika aplikasi klien Anda dikonfigurasi untuk memercayai CA ini, aplikasi Anda dapat terhubung ke instance tanpa Anda harus mendownload dan menginstal sertifikat CA tambahan. Hal ini memberi Anda kontrol yang lebih besar dan membantu Anda memenuhi persyaratan kepatuhan.
Rotasi sertifikat server
Setiap minggu, Memorystore for Valkey melakukan rotasi sertifikat sisi server untuk instance yang menggunakan mode CA per-instance, CA bersama, dan CA yang dikelola pelanggan. Sertifikat server baru hanya berlaku untuk koneksi baru, dan koneksi yang ada akan tetap aktif selama rotasi ini.
Selain Memorystore for Valkey yang melakukan rotasi sertifikat sisi server mingguan, untuk mode CA yang dikelola pelanggan, Anda dapat merotasi sertifikat sesuai permintaan.
Dampak performa dari mengaktifkan enkripsi dalam pengiriman
Fitur enkripsi dalam pengiriman mengenkripsi dan mendekripsi data, yang disertai dengan overhead pemrosesan. Akibatnya, mengaktifkan enkripsi dalam pengiriman dapat mengurangi performa klien Anda. Selain itu, saat Anda menggunakan enkripsi dalam pengiriman, setiap koneksi tambahan akan dikenai biaya resource terkait.
Untuk menentukan latensi yang terkait dengan penggunaan enkripsi dalam pengiriman, bandingkan performa klien Anda. Untuk melakukannya, lakukan benchmark performa instance yang mengaktifkan enkripsi dalam pengiriman dengan instance yang menonaktifkannya.
Panduan untuk meningkatkan performa
Untuk meningkatkan performa instance, gunakan panduan berikut:
Jika memungkinkan, kurangi jumlah koneksi klien. Daripada membuat koneksi jangka pendek sesuai permintaan, buat dan gunakan kembali koneksi jangka panjang.
Tingkatkan ukuran instance.
Tingkatkan resource CPU mesin host klien Anda. Mesin klien dengan jumlah CPU yang lebih tinggi akan menghasilkan performa yang lebih baik. Jika Anda menggunakan VM Compute Engine, sebaiknya gunakan instance yang dioptimalkan.
Kurangi ukuran payload yang terkait dengan traffic klien Anda. Payload yang lebih besar memerlukan lebih banyak perjalanan pulang pergi.