Habilitar la encriptación en tránsito

En esta página, se explica cómo habilitar la encriptación en tránsito durante la creación de la instancia de Redis y cómo administrar la encriptación en tránsito para la instancia. La encriptación en tránsito usa el protocolo de seguridad de la capa de transporte (TLS).

Para obtener información sobre el comportamiento general y los beneficios de usar la encriptación en tránsito, consulta Encriptación en tránsito.

Si deseas obtener una lista de los permisos que un usuario necesita para realizar las tareas de administración de esta página, consulta Permisos de encriptación en tránsito.

Solo puedes habilitar las encriptaciones en tránsito cuando creas inicialmente tu instancia de Redis. La encriptación en tránsito no se puede inhabilitar para las instancias creadas de esta manera.

Crea una instancia de Redis con encriptación en tránsito

Console

SeleccionarHabilita la encriptación en tránsito al Crear una instancia de Redis.

gcloud

Para crear una instancia de Redis que tenga encriptación en tránsito, ingresa el siguiente comando y reemplaza variables por los valores adecuados:

gcloud redis instances create instance-id --transit-encryption-mode=SERVER_AUTHENTICATION --size=size --region=region-id

Aquí:

  • --transit-encryption-mode=SERVER_AUTHENTICATION habilita la encriptación en tránsito para tu instancia.

Descarga la autoridad certificada

Console

  1. Ve a la página Memorystore para Redis en Google Cloud Console.

    Memorystore para Redis

  2. Haz clic en el ID de la instancia para ver los Detalles de la instancia.

  3. Haz clic en el botón Descargar o Descargar todo en Certificado de servidor TLS.

gcloud

Si la encriptación en tránsito está habilitada en tu instancia, verás el contenido de las autoridades certificadas cuando ejecutes el siguiente comando:

gcloud redis instances describe instance-id --region=region

El cuerpo de la respuesta incluirá todas las autoridades certificadas aplicables. A continuación, se muestra un ejemplo de autoridad certificada (CA) de Memorystore para Redis:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Copia y guarda todas las CA temporalmente para que puedas instalarlas en clientes que acceden a la instancia de Redis.

Instala una autoridad certificada en tu cliente

Debes instalar las autoridades certificadas de tu instancia de Redis en el cliente que se conectará. La instalación de CA puede variar según el tipo de cliente. Los siguientes pasos explican cómo instalar una CA en una VM de Linux de Compute Engine.

  1. Conéctate con SSH a tu cliente de Linux de Compute Engine.

  2. Para crear un archivo llamado server_ca.pem en tu cliente, ejecuta el siguiente comando:

    sudo vim /tmp/server_ca.pem

  3. Descarga la autoridad certificada y pégala en el archivo server_ca.pem creado con anterioridad.

    El texto de la CA debe tener el formato correcto:

    • Copia toda la autoridad certificada, incluidas las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.
    • Asegúrate de que se haya justificado a la izquierda todo el texto de la CA. No debe haber espacios frente a ninguna línea de la CA.

Configura tu cliente para la encriptación en tránsito

El cliente que uses para conectarte a la instancia de Redis debe admitir TLS o usar un sidecar de terceros a fin de habilitar TLS.

Si tu cliente admite TLS, configúralo para que apunte a la IP de tu instancia de Redis, el puerto 6378 y el archivo que contiene la autoridad certificada. Si decides usar un archivo adicional, te recomendamos usar Stunnel.

Configuración adicional del cliente

Algunos clientes no aceptan certificados autofirmados de forma predeterminada y requerirán configuraciones adicionales.

Por ejemplo, Lettuce es un cliente de Java popular para Redis. Su documentación proporciona un ejemplo para conectarse de forma nativa con TLS (consulta el ejemplo 47). Dado que Java Security Manager no permite certificados autofirmados de forma predeterminada, se debe especificar una opción adicional en la construcción del URI de Redis .withVerifyPeer(false).

Conéctate de forma segura a una instancia de Redis mediante Stunnel y Telnet

Si deseas obtener instrucciones para usar Stunnel a fin de habilitar la encriptación en tránsito en un cliente de Compute Engine, consulta Conéctate a una instancia de Redis de forma segura mediante Stunnel y Telnet.

Administra la rotación de autoridades certificadas

Debes instalar todas las autoridades certificadas descargables en los clientes que accederán a la instancia de Redis.

Instalar la CA nueva, además de la CA anterior, una vez que esté disponible, es la forma más sencilla de garantizar que tienes la CA necesaria cuando se produzca el evento de rotación de autoridades certificadas.

Ejecuta el siguiente comando una vez que se ingrese una nueva autoridad certificada para ver el contenido de la CA nueva:

gcloud redis instances describe instance-id --region=region

A continuación, copia y pega la autoridad certificada más reciente en el archivo de tu cliente en el que guardaste la CA anterior.

El archivo debe tener el siguiente formato. No importa el orden de las CA:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Todo lo que necesitas hacer para asegurarte de tener la CA requerida es asegurarte de que las CA guardadas en el archivo del cliente coincidan con las que muestra gcloud redis instances describe. Después de que comienza un evento de rotación, hay varias CA para garantizar que haya tiempo suficiente para realizar las rotaciones con un tiempo de inactividad mínimo.

¿Qué sigue?