Puoi criptare in modo sicuro tutti i dati che si spostano tra le applicazioni client e Memorystore for Valkey. Si tratta della crittografia dei dati in transito. Utilizzando la crittografia dei dati in transito, tutto il traffico Valkey viene criptato tramite il protocollo TLS (Transport Layer Security). In questo modo, tutti i dati che si spostano tra le applicazioni e Memorystore for Valkey rimangono riservati e non vengono manomessi.
Se la crittografia dei dati in transito è abilitata, i client Valkey comunicano esclusivamente tramite una connessione sicura. I client Valkey che non sono configurati per TLS vengono bloccati. Se scegli di utilizzare la crittografia dei dati in transito, è tua responsabilità assicurarti che il client Valkey possa utilizzare il protocollo TLS.
Di seguito sono riportati alcuni esempi di casi d'uso della crittografia dei dati in transito:
- Proteggere i dati sensibili memorizzati nella cache: se utilizzi Memorystore for Valkey per archiviare informazioni di alto valore, come token di sessione, informazioni che consentono l'identificazione personale (PII) o chiavi API, la crittografia dei dati in transito impedisce agli autori di attacchi con accesso VPC di accedere ai tuoi dati.
- Rispettare gli standard di settore: molti framework di sicurezza, tra cui HIPAA per i dati sanitari e PCI DSS per i dati finanziari, impongono che le informazioni sensibili vengano criptate sia a riposo sia in transito per scopi di conformità normativa e di settore.
- Proteggere l'autenticazione di Identity and Access Management (IAM): quando utilizzi l'autenticazione IAM per gestire l'accesso ai tuoi dati, Memorystore for Valkey richiede TLS per impedire l'esposizione o la perdita di token di autenticazione durante la trasmissione.
- Prevenire gli attacchi man-in-the-middle: TLS autentica l'endpoint del server utilizzando le autorità di certificazione (CA). Le CA proteggono l'applicazione dallo spoofing del server e dalla modifica non autorizzata dei dati durante il trasferimento tra l'applicazione e Memorystore for Valkey.
Prerequisiti per la crittografia dei dati in transito
Per utilizzare la crittografia dei dati in transito con Memorystore for Valkey, devi disporre di:
Un client Valkey che supporta TLS o un sidecar TLS di terze parti.
Certificati CA installati sulla macchina client che accede all'istanza.
Non tutte le librerie client Valkey supportano TLS. Se utilizzi un client che non supporta TLS, ti consigliamo di utilizzare un plug-in di terze parti che abilita TLS per il client. Puoi vedere un esempio di come connetterti a un' istanza con modalità cluster abilitata o disabilitata in Memorystore for Valkey con la crittografia dei dati in transito abilitata.
Autorità di certificazione (CA)
Un'istanza che utilizza la crittografia dei dati in transito dispone di autorità di certificazione (CA) che autenticano i certificati delle macchine nell'istanza. Memorystore for Valkey ti consente di scegliere una modalità CA server. La modalità CA determina la gerarchia CA utilizzata per emettere i certificati digitali per un'istanza.
Memorystore for Valkey offre le seguenti modalità CA:
- **CA per istanza**: Memorystore for Valkey esegue il provisioning di ogni istanza con la propria infrastruttura CA univoca. Per accedere a un'istanza in modo sicuro, devi configurare i client in modo che considerino attendibile questa gerarchia CA. Ciò comporta il download e l'installazione dei certificati CA su ogni client che accede all'istanza.
- **CA condivisa**: un'infrastruttura CA gestita, regionalizzata. Per ogni regione, puoi scaricare un singolo pacchetto di certificati CA. Questo pacchetto è valido per tutte le istanze situate in una regione che configuri per utilizzare la CA condivisa. L'utilizzo di una CA condivisa riduce il numero di certificati che i client devono gestire.
- CA gestita dal cliente: utilizza il tuo pool di CA ospitato su Certificate Authority Service. Se le applicazioni client sono configurate per considerare attendibile questa CA, possono connettersi a un'istanza senza che tu debba scaricare e installare certificati CA aggiuntivi. In questo modo hai un maggiore controllo e puoi soddisfare i requisiti di conformità.
Rotazione del certificato del server
Ogni settimana, Memorystore for Valkey esegue la rotazione dei certificati lato server per le istanze che utilizzano le modalità CA per istanza, CA condivisa e CA gestita dal cliente. I nuovi certificati server si applicano solo alle nuove connessioni, mentre le connessioni esistenti rimangono attive durante questa rotazione.
Oltre alla rotazione settimanale dei certificati lato server eseguita da Memorystore for Valkey, per la modalità CA gestita dal cliente puoi ruotare i certificati on demand.
Impatto sul rendimento dell'abilitazione della crittografia dei dati in transito
La funzionalità di crittografia dei dati in transito cripta e decripta i dati, il che comporta un sovraccarico di elaborazione. Di conseguenza, l'abilitazione della crittografia dei dati in transito può ridurre il rendimento dei client. Inoltre, quando utilizzi la crittografia dei dati in transito, ogni connessione aggiuntiva comporta un costo delle risorse associato.
Per determinare la latenza associata all'utilizzo della crittografia dei dati in transito, confronta il rendimento dei client. A questo scopo, esegui il benchmark del rendimento di un'istanza con la crittografia dei dati in transito abilitata rispetto a un'istanza con la crittografia dei dati in transito disattivata.
Linee guida per migliorare il rendimento
Per migliorare il rendimento di un'istanza, segui queste linee guida:
Se possibile, riduci il numero di connessioni client. Invece di creare connessioni on demand di breve durata, stabilisci e riutilizza connessioni di lunga durata.
Aumenta le dimensioni dell'istanza.
Aumenta le risorse CPU della macchina host del client. Le macchine client con un numero di CPU più elevato offrono un rendimento migliore. Se utilizzi una VM Compute Engine, ti consigliamo di utilizzare istanze ottimizzate.
Riduci le dimensioni del payload associate al traffico del client. I payload più grandi richiedono più round trip.