Criptografia em trânsito

Nesta página, você encontrará uma visão geral da criptografia em trânsito no Memorystore para Redis.

Para instruções sobre como criptografar uma conexão com criptografia em trânsito, consulte Como ativar a criptografia em trânsito.

Observação: o Memorystore para Redis só é compatível com as versões 1.2 ou posteriores do protocolo TLS.

Introdução

O Memorystore para Redis é compatível com a criptografia de todo o tráfego do Redis usando o protocolo Transport Layer Security (TLS). Quando a criptografia em trânsito é ativada, os clientes do Redis se comunicam exclusivamente em uma conexão de porta segura. Os clientes Redis que não estiverem configurados para o TLS serão bloqueados. Se você optar por ativar a criptografia em trânsito, será responsável por garantir que o cliente do Redis seja capaz de usar o protocolo TLS.

Pré-requisitos de criptografia em trânsito

Para usar a criptografia em trânsito com o Memorystore para Redis, você precisa:

  1. Um cliente Redis compatível com TLS ou um arquivo secundário de TLS de terceiros
  2. Uma autoridade de certificação instalada na máquina cliente que acessa sua instância do Redis;

O TLS nativo não era compatível antes da versão 6.0 do Redis de código aberto. Como resultado, nem todas as bibliotecas de cliente do Redis são compatíveis com o TLS. Se você estiver usando um cliente não compatível com TLS, recomendamos usar o plug-in de terceiros stunnel que ativa o TLS no seu cliente. Consulte Como se conectar a uma instância do Redis com segurança usando stunnel e telnet para um exemplo de como se conectar a uma instância do Redis com o stunnel.

Autoridade de certificação

Uma instância do Redis que usa a criptografia em trânsito tem uma ou mais autoridades de certificação (CA) exclusivas que são usadas para verificar a identidade do servidor. Uma CA é uma string que você precisa fazer o download e instalar no cliente que acessa sua instância do Redis. Uma CA é válida por dez anos a partir da data de criação. Para garantir a continuidade do serviço, é preciso instalar a nova CA em clientes da instância do Redis antes que a CA anterior expire.

Rotação da autoridade de certificação

Uma CA é válida por 10 anos após a criação da instância. Além disso, uma nova CA é disponibilizada cinco anos após a criação da instância.

A CA antiga é válida até a data de expiração. Isso dá uma janela de cinco anos para fazer o download e instalar a nova CA aos clientes que se conectam à instância do Redis. Quando a CA antiga expirar, você poderá desinstalá-la dos clientes.

Para instruções sobre como girar a CA, consulte Como gerenciar a rotação da autoridade de certificação.

Rotação de certificado do servidor

A alternância de certificados do servidor ocorre a cada 180 dias, causando uma queda de conexão temporária de alguns segundos. Você precisa ter uma lógica de repetição com espera exponencial em vigor para restabelecer a conexão. A rotação de certificados não causa um failover para instâncias do nível padrão.

Limites de conexão para criptografia em trânsito

A ativação da criptografia em trânsito na instância do Redis impõe limites ao número máximo de conexões de cliente que a instância pode ter. O limite depende do tamanho da instância. Considere aumentar o tamanho da sua instância do Redis se precisar de mais conexões do que o que é compatível com o nível de capacidade atual.

Nível de capacidade Número máximo de conexões1
M1 (1 a 4 GB) 2.500
M2 (5 a 10 GB) 2.500
M3 (11 a 35 GB) 15.000
M4 (36 a 100 GB) 30.000
M5 (mais de 101 GB) 65.000

1 Esses limites de conexão são aproximados e dependem da taxa e da complexidade dos comandos do Redis enviados por conexão.

Como monitorar de conexões

Como as instâncias do Redis com criptografia em trânsito têm limites de conexão específicos, monitore a métrica redis.googleapis.com/clients/connected para garantir que você não exceda o limite de conexão. Se o limite for ultrapassado, a instância do Redis rejeitará novas conexões. Nessa circunstância, recomendamos aumentar o escalonamento da instância para o tamanho que lide com o número necessário de conexões. Se você suspeitar que conexões inativas compõem um número significativo de conexões, é possível encerrar proativamente essas conexões com o parâmetro de configuração timeout.

Impacto do desempenho da ativação da criptografia em trânsito

O recurso de criptografia em trânsito criptografa e descriptografa dados, o que é fornecido com sobrecarga de processamento. Como resultado, ativar a criptografia em trânsito pode reduzir o desempenho. Além disso, ao usar criptografia em trânsito, cada conexão extra vem com custo de recurso associado. Para determinar a latência associada ao uso da criptografia em trânsito, compare o desempenho do aplicativo comparando o desempenho dele com uma instância do Redis que tem a criptografia em trânsito ativada e uma instância do Redis desativada.

Diretrizes para melhorar o desempenho

  • Reduza o número de conexões de cliente quando possível. Estabeleça e reutilize conexões de longa duração em vez de criar conexões de curta duração sob demanda.
  • Aumente o tamanho da instância do Memorystore (M4 ou superior é recomendada).
  • Aumente os recursos de CPU da máquina host do cliente Memorystore. Máquinas cliente com uma contagem maior de CPU geram melhor desempenho. Se estiver usando uma VM do Compute Engine, recomendamos instâncias de computação otimizadas.
  • Diminui o tamanho do payload associado ao tráfego do aplicativo porque payloads maiores exigem mais idas e voltas.

Impacto da criptografia em trânsito no uso de memória

Ativar a criptografia em trânsito reserva uma parte da memória da sua instância do Redis para o recurso. Quando todas as outras métricas são iguais, com a criptografia em trânsito ativada, o valor da métrica "Proporção de uso da memória do sistema" é maior devido à sobrecarga adicional usada pelo recurso.

A seguir