ElastiCache Verschlüsselung bei der Übertragung (TLS)

Um Ihre Daten zu schützen, bieten Amazon ElastiCache und Amazon EC2 Mechanismen zum Schutz vor unbefugtem Zugriff auf Ihre Daten auf dem Server. Durch die Bereitstellung von Verschlüsselungsfunktionen während der Übertragung ElastiCache erhalten Sie ein Tool, mit dem Sie Ihre Daten schützen können, wenn sie von einem Ort zum anderen übertragen werden.

Für alle Serverless-Caches ist die Verschlüsselung während der Übertragung aktiviert. Für selbst entworfene Cluster können Sie die Verschlüsselung während der Übertragung für eine Replikationsgruppe aktivieren, indem Sie den Parameter TransitEncryptionEnabled bei der Erstellung der Replikationsgruppe auf true (CLI: --transit-encryption-enabled) festlegen. Sie können dies unabhängig davon tun, ob Sie die Replikationsgruppe mithilfe der AWS Management Console AWS CLI, der oder der ElastiCache API erstellen.

Themen

• Übersicht über die Verschlüsselung während der Übertragung
• Bedingungen für die Verschlüsselung während der Übertragung
• Bewährte Methoden für die Verschlüsselung während der Übertragung
• Weitere Informationen finden Sie auch unter
• Aktivieren von Verschlüsselung während der Übertragung
• Verbindung zu Amazon ElastiCache (Redis OSS) mit Verschlüsselung während der Übertragung mithilfe von redis-cli herstellen
• Aktivierung der Verschlüsselung während der Übertragung auf einem selbst entworfenen Redis OSS-Cluster mit Python
• Bewährte Methoden für die Aktivierung der Verschlüsselung während der Übertragung

Übersicht über die Verschlüsselung während der Übertragung

Die ElastiCache Amazon-Verschlüsselung bei der Übertragung ist eine Funktion, mit der Sie die Sicherheit Ihrer Daten an den anfälligsten Stellen erhöhen können — wenn sie von einem Ort zum anderen übertragen werden. Da für die Verschlüsselung und Entschlüsselung der Daten an den Endpunkten eine gewisse Verarbeitung erforderlich ist, kann die Aktivierung der Verschlüsselung während der Übertragung einige Performance-Einbußen zufolge haben. Sie sollten Benchmark-Tests Ihrer Daten mit und ohne Verschlüsselung während der Übertragung durchführen, um die Performance-Einbußen bei Ihren Anwendungsfällen zu bestimmen.

ElastiCache Die Verschlüsselung bei der Übertragung implementiert die folgenden Funktionen:

• Verschlüsselte Client-Verbindungen – Client-Verbindungen mit Cache-Knoten sind TLS-verschlüsselt.

• Verschlüsselte Serververbindungen – Daten, die zwischen Knoten in einem Cluster übertragen werden, sind verschlüsselt.

• Serverauthentifizierung – Clients können die Verbindung zum richtigen Server authentifizieren.

• Client-Authentifizierung — Mithilfe der Redis OSS AUTH-Funktion kann der Server die Clients authentifizieren.

Bedingungen für die Verschlüsselung während der Übertragung

Bei der Planung Ihrer selbst entworfenen Cluster-Implementierung sollten Sie die folgenden Einschränkungen für die Verschlüsselung während der ElastiCache Übertragung durch Amazon berücksichtigen:

• Die Verschlüsselung während der Übertragung wird auf Replikationsgruppen unterstützt, auf denen die Redis OSS-Versionen 3.2.6, 4.0.10 und höher ausgeführt werden.

• Das Ändern der Verschlüsselungseinstellung bei der Übertragung für einen vorhandenen Cluster wird für Replikationsgruppen unterstützt, auf denen Redis OSS Version 7 und höher ausgeführt wird.

• Die Verschlüsselung während der Übertragung wird nur für Replikationsgruppen unterstützt, die in einer Amazon VPC ausgeführt werden.

• Die Verschlüsselung während der Übertragung wird für Replikationsgruppen, auf denen die folgenden Knotentypen ausgeführt werden, nicht unterstützt: M1, M2.

  Weitere Informationen finden Sie unter Unterstützte Knotentypen.

• Verschlüsselung während der Übertragung wird durch die Festlegung des TransitEncryptionEnabled-Parameters auf true ausdrücklich aktiviert.

• Stellen Sie sicher, dass Ihr Caching-Client TLS-Konnektivität unterstützt und dass Sie diese in der Client-Konfiguration aktiviert haben.

• Die Verwendung der alten Versionen TLS 1.0 und TLS 1.1 ist in allen AWS Regionen für ElastiCache Version 6 und höher veraltet. ElastiCache wird TLS 1.0 und 1.1 bis zum 8. Mai 2025 weiterhin unterstützen. Kunden müssen ihre Client-Software vor diesem Datum aktualisieren.

Bewährte Methoden für die Verschlüsselung während der Übertragung

• Aufgrund der für die Verschlüsselung und Entschlüsselung der Daten an den Endpunkten erforderliche Verarbeitung, kann die Implementierung der Verschlüsselung während der Übertragung eine Verringerung der Performance zufolge haben. Führen Sie einen Benchmark-Test der Verschlüsselung während der Übertragung im Vergleich zu keiner Verschlüsselung Ihrer eigenen Daten durch, um deren Auswirkungen auf die Performance Ihrer Implementierung zu ermitteln.

• Da der Aufbau neuer Verbindungen kostspielig sein kann, können Sie die Auswirkungen der Verschlüsselung während der Übertragung auf die Leistung verringern, indem Sie Ihre TLS-Verbindungen aufrechterhalten.

Weitere Informationen finden Sie auch unter

• Verschlüsselung im Ruhezustand in ElastiCache

• Authentifizierung mit dem Redis OSS AUTH-Befehl

• Authentifizierung von Benutzern mit rollenbasierter Zugriffskontrolle (RBAC)

• Amazon VPCs und ElastiCache Sicherheit

• Identity and Access Management für Amazon ElastiCache