Enkripsi in-transit ElastiCache (TLS)

Untuk membantu menjaga keamanan data Anda, Amazon ElastiCache dan Amazon EC2 menyediakan mekanisme untuk melindungi dari akses data Anda yang tidak sah di server. Dengan menyediakan kemampuan enkripsi in-transit, ElastiCache memberikan kepada Anda alat yang dapat Anda gunakan untuk membantu melindungi data Anda saat data itu berpindah dari satu lokasi ke lokasi lain.

Anda mengaktifkan enkripsi in-transit pada grup replikasi dengan menetapkan parameter TransitEncryptionEnabled ke true (CLI:--transit-encryption-enabled) saat Anda membuat grup replikasi. Anda dapat melakukan ini terlepas dari apakah Anda membuat grup replikasi menggunakan AWS Management Console, AWS CLI, atau API ElastiCache. Jika Anda mengaktifkan enkripsi in-transit, Anda juga harus memberikan nilai untuk CacheSubnetGroup.

Topik

• Gambaran umum enkripsi in-transit
• Kondisi enkripsi in-transit
• Praktik terbaik enkripsi dalam transit
• Lihat juga
• Mengaktifkan enkripsi in-transit
• Mengaktifkan enkripsi in-transit pada Cluster Redis menggunakan Python
• Menonaktifkan kontrol akses pada klaster Redis ElastiCache

Gambaran umum enkripsi in-transit

Enkripsi ElastiCache in-transit Amazon adalah fitur opsional yang memungkinkan Anda meningkatkan keamanan data Anda pada titik yang paling rentan—saat transit dari satu lokasi ke lokasi lainnya. Karena diperlukan beberapa pemrosesan untuk mengenkripsi dan mendekripsi data di titik akhir, mengaktifkan enkripsi in-transit dapat mengakibatkan sedikit dampak pada kinerja. Anda harus menolok ukur data Anda dengan dan tanpa enkripsi in-transit untuk menentukan dampak terhadap kinerja pada kasus penggunaan Anda.

Enkripsi in-transit ElastiCache menerapkan fitur berikut:

• Koneksi terenkripsi —baik koneksi server dan klien dienkripsi TLS.

• Replikasi terenkripsi - Data yang bergerak antara node utama dan node replika dienkripsi.

• Server otentikasi —clients dapat mengotentikasi bahwa mereka terhubung ke server yang tepat.

• Otentikasi klien —menggunakan fitur Redis AUTH, server dapat mengotentikasi klien.

Kondisi enkripsi in-transit

Batasan berikut pada enkripsi ElastiCache in-transit Amazon harus diingat saat Anda merencanakan implementasi:

• Enkripsi in-transit didukung pada grup replikasi yang menjalankan Redis versi 3.2.6, 4.0.10 atau yang lebih baru.

• Memodifikasi pengaturan enkripsi in-transit, untuk klaster yang ada, didukung pada grup replikasi yang menjalankan Redis versi 7 dan yang lebih baru.

• Enkripsi dalam transit hanya didukung untuk grup replikasi yang berjalan di Amazon VPC.

• Enkripsi in-transit hanya didukung untuk grup replikasi yang menjalankan jenis node berikut.

  • R6g, R5, R4, R3

  • M6g, M5, M4, M3

  • T4g, T3, T2

  Untuk informasi selengkapnya, lihat Jenis data yang didukung.

• Enkripsi in-transit diaktifkan dengan menetapkan parameter TransitEncryptionEnabled menjadi true secara eksplisit.

• Untuk terhubung ke grup replikasi diaktifkan enkripsi in-transit, database harus diaktifkan untuk Transport Layer Security (TLS). Untuk menyambung ke grup replikasi yang tidak mengaktifkan enkripsi in-transit, database tidak dapat mengaktifkan TLS.

Praktik terbaik enkripsi dalam transit

• Karena pemrosesan diperlukan untuk mengenkripsi dan mendekripsi data di titik akhir, mengaktifkan enkripsi in-transit dapat mengurangi kinerja. Lakukan uji tolok ukur enkripsi in-transit dibandingkan dengan tanpa enkripsi pada data Anda sendiri untuk menentukan dampaknya terhadap kinerja pada implementasi Anda.

• Karena membuat koneksi baru bisa mahal, Anda dapat mengurangi dampak kinerja enkripsi in-transit dengan mempertahankan koneksi TLS Anda.

Lihat juga

• Enkripsi At-Rest ElastiCache untuk Redis

• Otentikasi dengan perintah Redis AUTH

• Mengautentikasi Pengguna dengan Kontrol Akses Berbasis Peran (RBAC)

• Amazon VPC ElastiCache sekuriti

• Manajemen Identitas dan Akses untuk Amazon ElastiCache