Menetapkan ambang keamanan cache - AWS Encryption SDK

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menetapkan ambang keamanan cache

Ketika Anda menerapkan caching kunci data, Anda perlu mengkonfigurasi ambang keamanan yangCachingmenegakkan.

Ambang keamanan membantu Anda membatasi berapa lama setiap kunci data cache digunakan dan berapa banyak data yang dilindungi di bawah setiap kunci data. Caching CMM mengembalikan kunci data cache hanya ketika entri cache sesuai dengan semua ambang keamanan. Jika entri cache melebihi ambang batas apapun, entri tidak digunakan untuk operasi saat ini dan diusir dari cache sesegera mungkin. Penggunaan pertama dari setiap kunci data (sebelum caching) dibebaskan dari ambang batas ini.

Sebagai aturan, gunakan jumlah minimum caching yang diperlukan untuk memenuhi tujuan biaya dan kinerja Anda.

ParameterAWS Encryption SDKhanya cache kunci data yang dienkripsi dengan menggunakanfungsi derivasi kunci. Juga, menetapkan batas atas untuk beberapa nilai ambang batas. Pembatasan ini memastikan bahwa kunci data tidak digunakan kembali di luar batas kriptografi mereka. Namun, karena kunci data plaintext Anda di-cache (dalam memori, secara default), cobalah untuk meminimalkan waktu kunci disimpan. Selain itu, coba batasi data yang mungkin terpapar jika kunci dikompromikan.

Untuk contoh pengaturan ambang keamanan cache, lihatAWS Encryption SDK: Cara Memutuskan apakah Data Key Caching Tepat untuk Aplikasi AndadiAWSBlog Keamanan.

catatan

Caching CMM memberlakukan semua ambang batas berikut. Jika Anda tidak menentukan nilai opsional, Caching CMM menggunakan nilai default.

Untuk menonaktifkan caching kunci data sementara, Java dan Python implementasiAWS Encryption SDKmenyediakancache bahan kriptografi(cache null). Cache null mengembalikan miss untuk setiapGETpermintaan dan tidak menanggapiPUTpermintaan. Sebaiknya Anda menggunakan cache null alih-alih mengaturkapasitas cacheatau ambang keamanan untuk 0. Untuk informasi selengkapnya, lihat cache nullJavadanPython.

Usia maksimum (wajib)

Menentukan berapa lama entri cache dapat digunakan, dimulai ketika ditambahkan. Nilai ini diperlukan. Masukkan nilai lebih besar dari 0. ParameterAWS Encryption SDKtidak membatasi nilai usia maksimum.

Semua implementasi bahasaAWS Encryption SDKmenentukan usia maksimum dalam hitungan detik, kecuali untukAWS Encryption SDK for JavaScript, yang menggunakan milidetik.

Gunakan interval terpendek yang masih memungkinkan aplikasi Anda untuk mendapatkan keuntungan dari cache. Anda dapat menggunakan ambang usia maksimum seperti kebijakan rotasi kunci. Gunakan untuk membatasi penggunaan kembali kunci data, meminimalkan eksposur materi kriptografi, dan mengusir kunci data yang kebijakannya mungkin telah berubah saat di-cache.

Pesan maksimum yang dienkripsi (opsional)

Menentukan jumlah pesan maksimum yang dapat dienkripsi dengan kunci data yang di-cache. Nilai ini bersifat opsional. Masukkan nilai antara 1 hingga 2^32 pesan. Nilai default adalah 2^32 pesan.

Atur jumlah pesan yang dilindungi oleh setiap kunci cache menjadi cukup besar untuk mendapatkan nilai dari penggunaan kembali, tetapi cukup kecil untuk membatasi jumlah pesan yang mungkin terpapar jika kunci dikompromikan.

Byte maksimum yang dienkripsi (opsional)

Menentukan jumlah maksimal byte yang dapat dienkripsi kunci data yang di-cache. Nilai ini bersifat opsional. Masukkan nilai antara 0 dan 2^63 - 1. Nilai default-nya adalah 2^63 - 1. Nilai 0 memungkinkan Anda menggunakan caching kunci data hanya ketika Anda mengenkripsi string pesan kosong.

Byte dalam permintaan saat ini disertakan saat mengevaluasi ambang batas ini. Jika byte diproses, ditambah byte saat ini, melebihi ambang batas, kunci data cache diusir dari cache, meskipun mungkin telah digunakan pada permintaan yang lebih kecil.