ElastiCache crittografia in transito (TLS) - Amazon ElastiCache (sistema operativo Redis)
PanoramicaVincoliBest practiceConsulta anche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

ElastiCache crittografia in transito (TLS)

Per aiutarti a proteggere i tuoi dati, Amazon ElastiCache e Amazon EC2 forniscono meccanismi di protezione contro l'accesso non autorizzato ai tuoi dati sul server. Fornendo funzionalità di crittografia in transito, ti ElastiCache offre uno strumento che puoi utilizzare per proteggere i tuoi dati quando vengono spostati da una posizione all'altra.

Tutte le cache serverless dispongono della crittografia dei dati in transito abilitata. Per i cluster progettati autonomamente puoi abilitare la crittografia dei dati in transito su un gruppo di replica impostando il parametro TransitEncryptionEnabled su true (CLI: --transit-encryption-enabled) durante la creazione del gruppo di replica. È possibile eseguire questa operazione indipendentemente dal fatto che si stia creando il gruppo di replica utilizzando l' AWS Management Console AWS CLI, l'o l' ElastiCache API.

Argomenti

Panoramica della crittografia dei dati in transito

La crittografia ElastiCache in transito di Amazon è una funzionalità che consente di aumentare la sicurezza dei dati nei punti più vulnerabili, quando sono in transito da una posizione all'altra. Poiché la crittografia e la decrittografia dei dati richiede l'elaborazione a livello di endpoint, l'abilitazione della crittografia dei dati in transito può in parte influire sulle prestazioni. È opportuno creare un riferimento per i dati con o senza crittografia dei dati in transito per determinare l'impatto sulle prestazioni per i propri casi d'uso.

ElastiCache la crittografia in transito implementa le seguenti funzionalità:

  • Connessioni client crittografate: le connessioni client ai nodi di cache sono crittografate con TLS.

  • Connessioni server crittografate: i dati che si spostano tra i nodi di un cluster sono crittografati.

  • Autenticazione del server: i client possono autenticare che si stanno connettendo al server giusto.

  • Autenticazione client: utilizzando la funzione Redis OSS AUTH, il server può autenticare i client.

Condizioni di crittografia dei dati in transito

I seguenti vincoli sulla crittografia ElastiCache in transito di Amazon devono essere tenuti presenti quando pianifichi l'implementazione del cluster progettata autonomamente:

  • La crittografia in transito è supportata sui gruppi di replica che eseguono le versioni Redis OSS 3.2.6, 4.0.10 e successive.

  • La modifica dell'impostazione di crittografia in transito, per un cluster esistente, è supportata nei gruppi di replica che eseguono Redis OSS versione 7 e successive.

  • La crittografia dei dati in transito è supportata solo per gruppi di replica in esecuzione in un Amazon VPC.

  • La crittografia in transito non è supportata per i gruppi di replica che eseguono i seguenti tipi di nodi: M1, M2.

    Per ulteriori informazioni, consulta Tipi di nodi supportati.

  • La crittografia dei dati in transito è abilitata impostando in maniera esplicata il parametro TransitEncryptionEnabled su true.

  • Assicurati che il client di cache supporti la connettività TLS e che sia abilitata nella configurazione del client.

  • L'utilizzo dei vecchi TLS 1.0 e TLS 1.1 è obsoleto in tutte le regioni per la versione 6 e successive. AWS ElastiCache ElastiCache continuerà a supportare TLS 1.0 e 1.1 fino all'8 maggio 2025. I clienti devono aggiornare il software client prima di tale data.

Best practice per la crittografia in transito

  • A causa dell'elaborazione richiesta per crittografare e decrittografare i dati a livello degli endpoint, l'implementazione della crittografia dei dati in transito può ridurre le prestazioni. Raffronta la crittografia dei dati in transito con l'assenza di crittografia sui dati per determinare il suo impatto sulle prestazioni per l'implementazione.

  • Siccome la creazione di nuove connessioni può richiedere molte risorse, puoi ridurre l'impatto della crittografia in transito sulle prestazioni mantenendo le connessioni SSL.

Consulta anche