Gestisci la crittografia dei dati in transito

Questa pagina spiega come gestire la crittografia dei dati in transito per il cluster.

Per una panoramica della crittografia dei dati in transito per il cluster Memorystore for Redis, consulta Informazioni sulla crittografia dei dati in transito.

Puoi abilitare le crittografie in transito solo quando crei inizialmente il cluster Memorystore. La crittografia dei dati in transito non può essere disabilitata per i cluster creati in questo modo.

Crea un'istanza con crittografia in transito

Console

Segui i passaggi descritti in Creare un'istanza di Memorystore for Redis Cluster.

gcloud

Per creare un cluster Redis con crittografia in transito, esegui il comando create:

gcloud alpha redis clusters create INSTANCE_ID \
--region=REGION_ID \
--network=NETWORK \
--replica-count=REPLICA_COUNT \
--shard-count=SHARD_COUNT \
--transit-encryption-mode=server-authentication

Sostituisci quanto segue:

  • INSTANCE_ID è l'ID dell'istanza del cluster Memorystore for Redis che stai creando. L'ID istanza deve contenere da 1 a 63 caratteri e deve contenere solo lettere minuscole, numeri o trattini. Deve iniziare con una lettera minuscola e terminare con una lettera minuscola o un numero.

  • REGION_ID è la regione in cui vuoi posizionare l'istanza.

  • NETWORK è la rete utilizzata per creare l'istanza. Deve utilizzare il formato: projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. L'ID di rete utilizzato qui deve corrispondere all'ID di rete utilizzato dal criterio di connessione del servizio. In caso contrario, l'operazione create non andrà a buon fine.

  • REPLICA_COUNT è il numero di repliche desiderato (per shard). I valori accettati sono 0, 1 e 2.

  • SHARD_COUNT determina il numero di shard da 13 GB nella tua istanza. Il conteggio degli shard determina la capacità di memoria totale per l'archiviazione dei dati del cluster. Per ulteriori dettagli sulla specifica del cluster, vedi Specifica per cluster e shard.

Ecco alcuni esempi:

gcloud alpha redis clusters create my-instance \
--region=us-central1 \
--network=projects/my-project-335118/global/networks/default \
--replica-count=1 \
--shard-count=3 \
--transit-encryption-mode=server-authentication

Scarica le autorità di certificazione

Se nel tuo cluster è abilitata la crittografia dei dati in transito, quando esegui il comando get-cluster-certificate-authority vengono visualizzati i certificati delle autorità di certificazione:

gcloud alpha redis clusters get-cluster-certificate-authority INSTANCE_ID

Sostituisci quanto segue:

  • INSTANCE_ID è l'ID dell'istanza del cluster Memorystore for Redis.

Il corpo della risposta include i certificati per tutte le autorità di certificazione applicabili.

Installa autorità di certificazione sul tuo client

Devi installare le autorità di certificazione del cluster sul client di connessione. L'installazione di una CA può variare a seconda del tipo di client. I passaggi seguenti spiegano come installare una CA su una VM Linux di Compute Engine.

  1. Connettiti a SSH al tuo client Linux di Compute Engine.

  2. Crea un file denominato server_ca.pem nel client:

    sudo vim /tmp/server_ca.pem

  3. Scarica le autorità di certificazione e incollale nel file server_ca.pem creato in precedenza.

    Il testo delle autorità di certificazione deve essere formattato correttamente. Il file server_ca.pem dovrebbe avere il seguente aspetto:

    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    Per il file, come mostrato nell'esempio precedente, devi utilizzare le seguenti linee guida:

    • Copia l'intera autorità di certificazione, incluse le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

    • Assicurati che il testo delle autorità di certificazione sia completamente giustificato. Non devono esserci spazi davanti a una riga delle autorità di certificazione.

    • Ogni autorità di certificazione deve essere aggiunta a una nuova riga. Non devono esistere righe vuote tra le CA.

Configura il client per la crittografia dei dati in transito

Il client che utilizzi per connetterti al cluster deve supportare TLS o utilizzare un sidecar di terze parti per abilitare TLS.

Se il tuo client supporta TLS, configuralo in modo che punti all'IP dell'istanza Redis, alla porta 6379 e al file contenente l'autorità di certificazione. Se scegli di utilizzare un sidecar, ti consigliamo di utilizzare Stunnel.

Connettiti in modo sicuro a un cluster Memorystore tramite Stunnel e telnet

Per istruzioni sull'utilizzo di Stunnel per abilitare la crittografia dei dati in transito su un client Compute Engine, consulta Stabilire una connessione sicura a un'istanza di Memorystore utilizzando Stunnel e telnet.

Gestisci la rotazione dell'autorità di certificazione

Devi installare tutte le autorità di certificazione scaricabili sui client che accedono al tuo cluster.

L'installazione delle nuove CA, oltre alle precedenti CA, non appena saranno disponibili è il modo più semplice per assicurarsi di disporre delle CA necessarie quando si verifica l'evento di rotazione dell'autorità di certificazione.

Per assicurarti di avere la CA richiesta, devi assicurarti che le CA salvate nel file client corrispondano a quelle mostrate durante il download delle autorità di certificazione. Durante la rotazione, sia le CA nuove sia le CA precedenti sono attive per garantire tempi di inattività minimi.