您可以安全地加密在客户端应用和 Memorystore for Valkey 之间传输的所有数据。这是传输加密。通过使用传输加密,所有 Valkey 流量都通过传输层安全 (TLS) 协议进行加密。这样可确保在应用与 Memorystore for Valkey 之间移动的所有数据保持机密且未被篡改。
启用传输加密后,Valkey 客户端仅通过安全连接进行通信。未配置 TLS 的 Valkey 客户端会被屏蔽。如果您选择使用传输加密,则需要负责确保您的 Valkey 客户端能够使用 TLS 协议。
以下是使用传输中加密的示例应用场景:
- 保护敏感的缓存数据:如果您使用 Memorystore for Valkey 存储高价值信息(例如会话令牌、个人身份信息 [PII] 或 API 密钥),那么传输中加密功能可防止具有 VPC 访问权限的攻击者访问您的数据。
- 符合行业标准:许多安全框架(包括医疗保健领域的健康保险流通与责任法案 (HIPAA) 和金融数据领域的 PCI DSS)都要求出于法规和行业合规性目的,对静态和传输中的敏感信息进行加密。
- 安全 Identity and Access Management (IAM) 身份验证:当您使用 IAM 身份验证来管理对数据的访问权限时,Memorystore for Valkey 需要使用 TLS 来防止身份验证令牌在传输过程中暴露或泄露。
- 防止中间人攻击:TLS 使用证书授权机构 (CA) 对服务器端点进行身份验证。当数据在应用与 Memorystore for Valkey 之间移动时,CA 可保护应用免遭服务器欺骗和未经授权的数据修改。
传输加密前提条件
如需将传输加密与 Memorystore for Valkey 搭配使用,您需要具备以下条件:
支持 TLS 或第三方 TLS 辅助信息文件的 Valkey 客户端。
安装在访问您的实例的客户端机器上的 CA 证书。
并非所有 Valkey 客户端库都支持 TLS。如果您使用的客户端不支持 TLS,我们建议您使用为客户端启用 TLS 的第三方插件。您可以查看一个示例,了解如何连接到启用了传输加密的 Memorystore for Valkey 启用了集群模式或停用了集群模式的实例。
证书授权机构 (CA)
使用传输加密的实例具有证书授权机构 (CA),用于对实例中机器的证书进行身份验证。Memorystore for Valkey 允许您选择服务器 CA 模式。CA 模式决定了使用哪个 CA 层次结构为实例颁发数字证书。
Memorystore for Valkey 提供以下 CA 模式:
- 单实例 CA:Memorystore for Valkey 为每个实例预配其独有的 CA 基础架构。如需安全地访问实例,您必须将客户端配置为信任此 CA 层次结构。这需要您在访问该实例的每个客户端上下载并安装 CA 证书。
- 共享 CA:一种受管理的区域化 CA 基础设施。对于每个区域,您都可以下载一个 CA 证书包。此软件包适用于您配置为使用共享 CA 的区域中的所有实例。使用共享 CA 可减少客户端需要管理的证书数量。
- 客户管理的 CA:使用您在 Certificate Authority Service 上托管的自有 CA 池。 如果您的客户端应用配置为信任此 CA,则您的应用可直接连接到实例,无需下载和安装其他 CA 证书。这样,您就可以更好地控制数据,并满足合规性要求。
服务器证书轮替
对于使用每个实例的 CA、共享 CA 和客户管理的 CA 模式的实例,Memorystore for Valkey 每周都会进行服务器端证书轮换。新服务器证书仅适用于新连接,在此轮替期间,现有连接会保持有效。
除了 Memorystore for Valkey 每周进行一次服务器端证书轮替之外,对于客户管理的 CA 模式,您还可以按需轮替证书。
启用传输加密对性能的影响
传输加密功能会执行数据加密和解密,这会造成处理开销。因此,启用传输加密可能会降低客户端的性能。此外,在使用传输加密时,每个额外的连接都会产生关联的资源费用。
如需确定与使用传输加密相关的延迟时间,请比较客户端的性能。为此,请对启用了传输加密的实例和停用了传输加密的实例的性能进行基准化分析。
有助于提升效果的指南
如需提高实例的性能,请遵循以下准则:
尽可能减少客户端连接数量。建立并重用长时间运行的连接,而不是按需创建短时间运行的连接。
增加实例的大小。
增加客户端宿主机的 CPU 资源。CPU 个数越多,客户端机器的性能就越好。如果您使用 Compute Engine 虚拟机,我们建议您使用优化型实例。
减小与客户端流量关联的载荷大小。载荷越大,所需的往返次数就越多。