Sobre a criptografia em trânsito

Nesta página, você encontra uma visão geral da criptografia em trânsito para o cluster do Memorystore para Redis.

Para instruções sobre como criptografar uma conexão com criptografia em trânsito, consulte Gerenciar criptografia em trânsito.

O cluster do Memorystore para Redis é compatível apenas com a versão 1.2 ou superior do protocolo TLS.

Introdução

O cluster do Memorystore para Redis é compatível com a criptografia de todo o tráfego do Redis usando o protocolo Transport Layer Security (TLS). Quando a criptografia em trânsito está ativada, os clientes Redis se comunicam exclusivamente por meio de uma conexão segura. Os clientes Redis não configurados para TLS são bloqueados. Se optar por ativar a criptografia em trânsito, você será responsável por garantir que o cliente Redis use o protocolo TLS.

Pré-requisitos de criptografia em trânsito

Para usar a criptografia em trânsito com o Memorystore para Redis, você precisa:

  1. Um cliente Redis compatível com TLS ou um arquivo secundário de TLS de terceiros

  2. Autoridades de certificado instaladas na máquina cliente que acessam sua instância do Redis

O TLS nativo não era compatível antes da versão 6.0 do Redis de código aberto. Como resultado, nem todas as biblioteca de cliente Redis são compatíveis com TLS. Se você estiver usando um cliente não compatível com TLS, recomendamos usar o plug-in de terceiros stunnel que ativa o TLS para seu cliente. Consulte Como se conectar a uma instância do Redis com segurança usando stunnel e telnet para um exemplo de como se conectar a uma instância do Redis com o stunnel.

Autoridades certificadoras

Um cluster do Redis que usa criptografia em trânsito tem autoridades de certificação (CAs, na sigla em inglês) exclusivas usadas para autenticar os certificados das máquinas no cluster. Cada CA é identificada por um certificado que você precisa fazer o download e instalar no cliente que acessa sua instância do Redis.

Rotação da autoridade de certificação

As CAs são válidas por 10 anos após a criação da instância. Além disso, uma nova CA ficará disponível antes da expiração da CA.

As CAs antigas são válidas até a data de expiração. Isso dá a você uma janela para fazer o download e instalar a nova CA para clientes que se conectam à instância do Redis. Depois que as CAs antigas expirarem, você poderá desinstalá-las dos clientes.

Para instruções sobre como girar a CA, consulte Como gerenciar a rotação da autoridade de certificação.

Rotação de certificado do servidor

A rotação de certificados do servidor ocorre toda semana. Os novos certificados do servidor se aplicam somente a novas conexões, e as conexões existentes permanecem ativas durante a rotação.

Impacto do desempenho da ativação da criptografia em trânsito

O recurso de criptografia em trânsito criptografa e descriptografa os dados, o que acompanha o processamento. Como resultado, ativar a criptografia em trânsito pode reduzir o desempenho. Além disso, ao usar criptografia em trânsito, cada conexão adicional é fornecida como custo de recurso associado. Para determinar a latência associada ao uso da criptografia em trânsito, compare o desempenho do aplicativo comparando o desempenho do aplicativo com um cluster que tenha a criptografia em trânsito ativada e um cluster em que esteja desativado.

Diretrizes para melhorar o desempenho

  • Reduza o número de conexões de cliente quando possível. Estabeleça e reutilize conexões de longa duração em vez de criar conexões de curta duração sob demanda.

  • Aumente o tamanho do cluster do Memorystore.

  • Aumente os recursos de CPU da máquina host do cliente Memorystore. Máquinas cliente com uma contagem maior de CPU geram melhor desempenho. Se você estiver usando uma VM do Compute Engine, recomendamos instâncias otimizadas para computação.

  • Diminui o tamanho do payload associado ao tráfego do aplicativo porque payloads maiores exigem mais idas e voltas.