Crittografia dei dati in transito

Questa pagina fornisce una panoramica della crittografia dei dati in transito per Memorystore for Redis.

Per istruzioni su come criptare una connessione con la crittografia in transito, vedi Attivare la crittografia in transito.

Memorystore for Redis supporta solo la versione 1.2 o successive del protocollo TLS.

Introduzione

Memorystore per Redis supporta la crittografia di tutto il traffico Redis utilizzando il protocollo Transport Layer Security (TLS). Quando la crittografia dei dati in transito è abilitata, i client Redis comunicano in modo esclusivo tramite una connessione alla porta sicura. I client Redis non configurati per TLS verranno bloccati. Se scegli di attivare la crittografia dei dati in transito, sei responsabile che il client Redis sia in grado di utilizzare il protocollo TLS.

Prerequisiti di crittografia dei dati in transito

Per utilizzare la crittografia dei dati in transito con Memorystore for Redis, devi avere:

  1. Un client Redis che supporta TLS o un sidecar TLS di terze parti
  2. Un'autorità di certificazione installata sul computer client che accede alla tua istanza Redis

La versione nativa di TLS non era supportata prima della versione 6.0 open source di Redis. Di conseguenza, non tutte le librerie client Redis supportano TLS. Se utilizzi un client che non supporta TLS, ti consigliamo di utilizzare il plug-in di terze parti Stunnel che abilita TLS per il tuo client. Consulta Connessione sicura a un'istanza Redis tramite Stunnel e Telnet per un esempio di come connetterti a un'istanza Redis con Stunnel.

Autorità di certificazione

Un'istanza Redis che utilizza la crittografia dei dati in transito ha una o più autorità di certificazione (CA) univoche che vengono utilizzate per verificare l'identità del server. Una CA è una stringa che devi scaricare e installare sul client che accede alla tua istanza Redis. Una CA è valida per dieci anni dalla data di creazione. Per garantire la continuità del servizio, è necessario installare la nuova CA sui client dell'istanza Redis prima della scadenza della CA precedente.

Rotazione autorità di certificazione

Una CA è valida per 10 anni al momento della creazione dell'istanza. Inoltre, una nuova CA diventa disponibile cinque anni dopo la creazione dell'istanza.

La vecchia CA è valida fino alla data di scadenza. Questo ti concede un periodo di cinque anni in cui scaricare e installare la nuova CA per i client che si connettono all'istanza Redis. Dopo la scadenza della vecchia CA, puoi disinstallarla dai client.

Per istruzioni sulla rotazione della CA, consulta Gestione della rotazione dell'autorità di certificazione.

Rotazione certificati server

La rotazione dei certificati lato server si verifica ogni 180 giorni, causando un calo temporaneo della connessione di alcuni secondi. Dovresti avere una logica di nuovo tentativo con backoff esponenziale per poter ristabilire la connessione. La rotazione dei certificati non determina un failover per le istanze di livello Standard.

Limiti di connessione per la crittografia dei dati in transito

L'abilitazione della crittografia dei dati in transito sull'istanza Redis introduce alcuni limiti sul numero massimo di connessioni client che l'istanza può avere. Il limite dipende dalle dimensioni dell'istanza. Ti consigliamo di aumentare le dimensioni dell'istanza Redis se hai bisogno di più connessioni rispetto a quelle supportate dal tuo livello di capacità attuale.

Livello di capacità Numero massimo di connessioni1
M1 (1-4GB) 2500
M2 (5-10GB) 2500
M3 (11-35GB) 15.000
M4 (36-100GB) 30.000
M5 (oltre 101 GB) 65.000

1 Questi limiti di connessioni sono approssimativi e dipendono dalla frequenza e dalla complessità dei comandi Redis inviati per connessione.

Monitoraggio delle connessioni

Poiché le istanze Redis con crittografia in transito hanno limiti di connessione specifici, devi monitorare la metrica redis.googleapis.com/clients/connected per assicurarti di non superare il limite di connessioni. Se il limite viene superato, l'istanza Redis rifiuta i nuovi tentativi di connessione. In questo caso, ti consigliamo di scalare l'istanza fino alle dimensioni che soddisfano il numero richiesto di connessioni. Se sospetti che le connessioni inattive costituiscano un numero significativo di connessioni, puoi terminare in modo proattivo queste connessioni con il parametro di configurazione timeout.

Impatto sulle prestazioni dell'attivazione della crittografia dei dati in transito

La funzionalità di crittografia in transito cripta e decripta i dati, inclusi i costi di elaborazione. Di conseguenza, l'attivazione della crittografia dei dati in transito può ridurre le prestazioni. Inoltre, quando utilizzi la crittografia dei dati in transito, ogni connessione aggiuntiva viene associata come costo associato alle risorse. Per determinare la latenza associata all'utilizzo della crittografia dei dati in transito, confronta le prestazioni dell'applicazione eseguendo il benchmarking delle prestazioni dell'applicazione con un'istanza Redis in cui è abilitata la crittografia dei dati in transito e un'istanza Redis in cui è disabilitata.

Linee guida per migliorare il rendimento

  • Se possibile, riduci il numero di connessioni client. Stabilisci e riutilizza connessioni a lunga esecuzione anziché creare connessioni on demand di breve durata.
  • Aumenta le dimensioni dell'istanza Memorystore (si consiglia di utilizzare la versione M4 o superiore).
  • Aumentare le risorse della CPU della macchina host client Memorystore. Le macchine client con un numero di CPU più elevato offrono prestazioni migliori. Se utilizzi una VM di Compute Engine, ti consigliamo di utilizzare le istanze ottimizzate per il calcolo.
  • Riduci le dimensioni del payload associate al traffico dell'applicazione perché i payload più grandi richiedono più round trip.

Impatto della crittografia dei dati in transito sull'utilizzo della memoria

L'abilitazione della crittografia dei dati in transito riserva parte della memoria dell'istanza Redis per la funzionalità. A parità di altre condizioni, con la crittografia dei dati in transito abilitata, il valore della metrica Rapporto di utilizzo della memoria di sistema è più elevato a causa della memoria aziendale aggiuntiva utilizzata dalla funzionalità.

Passaggi successivi