Sobre a criptografia em trânsito

É possível criptografar todos os dados que se movem entre os aplicativos cliente e a Memorystore para Valkey com segurança. Essa é a criptografia em trânsito. Ao usar a criptografia em trânsito, todo o tráfego do Valkey é criptografado com o protocolo Transport Layer Security (TLS). Isso garante que todos os dados que se movem entre seus aplicativos e o Memorystore para Valkey permaneçam confidenciais e sem adulteração.

Quando a criptografia em trânsito está ativada, os clientes do Valkey se comunicam exclusivamente por uma conexão segura. Os clientes do Valkey que não estiverem configurados para TLS serão bloqueados. Se você optar por usar a criptografia em trânsito, será responsável por garantir que o cliente do Valkey possa usar o protocolo TLS.

Confira a seguir exemplos de casos de uso da criptografia em trânsito:

  • Proteja dados sensíveis em cache: se você usa o Memorystore for Valkey para armazenar informações de alto valor, como tokens de sessão, informações de identificação pessoal (PII) ou chaves de API, a criptografia em trânsito impede que invasores com acesso à VPC acessem seus dados.
  • Obedeça aos padrões do setor: muitos frameworks de segurança, incluindo a HIPAA para dados de saúde e o PCI DSS para dados financeiros, exigem que informações sensíveis sejam criptografadas em repouso e em trânsito para fins de compliance regulatório e do setor.
  • Autenticação segura do Identity and Access Management (IAM): quando você usa a autenticação do IAM para gerenciar o acesso aos seus dados, o Memorystore para Valkey exige o TLS para evitar a exposição ou o vazamento de tokens de autenticação durante a transmissão.
  • Evitar ataques person-in-the-middle: o TLS autentica o endpoint do servidor usando autoridades de certificação (CAs). As CAs protegem seu aplicativo contra falsificação de servidor e modificação não autorizada de dados à medida que os dados se movem entre o aplicativo e o Memorystore para Valkey.

Pré-requisitos de criptografia em trânsito

Para usar a criptografia em trânsito com o Memorystore para Valkey, você precisa do seguinte:

  1. Um cliente do Valkey compatível com TLS ou um arquivo secundário de TLS de terceiros.

  2. Certificados de CA instalados na máquina cliente que acessa sua instância.

Nem todas as biblioteca de cliente do Valkey são compatíveis com o TLS. Se você usa um cliente que não é compatível com TLS, recomendamos usar um plug-in de terceiros que ativa o TLS para seu cliente. Confira um exemplo de como se conectar a uma instância do Memorystore for Valkey com a criptografia em trânsito ativada no modo de cluster ativado ou desativado.

Autoridades certificadoras (CAs)

Uma instância que usa criptografia em trânsito tem autoridades certificadoras (CAs) que autenticam os certificados das máquinas na instância. O Memorystore para Valkey permite escolher um modo de AC do servidor. O modo de CA determina qual hierarquia de CA é usada para emitir os certificados digitais de uma instância.

O Memorystore para Valkey oferece os seguintes modos de AC:

  • CA por instância: o Memorystore for Valkey provisiona cada instância com a própria infraestrutura de CA exclusiva. Para acessar uma instância com segurança, configure os clientes para confiar nessa hierarquia de CA. Isso envolve o download e a instalação de certificados de AC em cada cliente que acessa a instância.
  • AC compartilhada: uma infraestrutura de AC gerenciada e regionalizada. Para cada região, é possível baixar um único pacote de certificados de AC. Esse pacote é válido para todas as instâncias localizadas em uma região que você configura para usar a AC compartilhada. O uso de uma AC compartilhada reduz o número de certificados que os clientes precisam gerenciar. Esse modo de CA está disponível em pré-lançamento.
  • CA gerenciada pelo cliente: use seu próprio pool de CA hospedado no Certificate Authority Service. Se os aplicativos cliente estiverem configurados para confiar nessa AC, eles poderão se conectar a uma instância sem que você precise baixar e instalar outros certificados. Isso dá mais controle e ajuda a atender aos requisitos de conformidade. Esse modo de CA está disponível na Prévia.

Rotação de certificado do servidor

Toda semana, o Memorystore for Valkey realiza a rotação de certificados do lado do servidor para instâncias que usam os modos de CA por instância, CA compartilhada e CA gerenciada pelo cliente. Os novos certificados de servidor se aplicam apenas a novas conexões, e as conexões atuais permanecem ativas durante essa rotação.

Além da rotação semanal de certificados do lado do servidor feita pelo Memorystore para Valkey, no modo de AC gerenciada pelo cliente, é possível fazer a rotação dos certificados sob demanda.

Impacto do desempenho da ativação da criptografia em trânsito

O recurso de criptografia em trânsito criptografa e descriptografa dados, o que é fornecido com uma sobrecarga de processamento. Como resultado, ativar a criptografia em trânsito pode reduzir o desempenho dos seus clientes. Além disso, ao usar criptografia em trânsito, cada conexão extra vem com um custo de recurso associado.

Para determinar a latência associada ao uso da criptografia em trânsito, compare o desempenho dos seus clientes. Para fazer isso, compare o desempenho de uma instância com a criptografia em trânsito ativada e outra com ela desativada.

Diretrizes para melhorar a performance

Para melhorar o desempenho de uma instância, use as seguintes diretrizes:

  • Quando possível, diminua o número de conexões de cliente. Em vez de criar conexões de curta duração sob demanda, estabeleça e reutilize conexões de longa duração.

  • Aumente o tamanho da instância.

  • Aumente os recursos de CPU da máquina host do cliente. Máquinas cliente com uma contagem maior de CPU geram melhor desempenho. Se você usa uma VM do Compute Engine, recomendamos que use instâncias otimizadas.

  • Diminua o tamanho do payload associado ao tráfego do cliente. Payloads maiores exigem mais idas e voltas.