Criptografia em trânsito do DAX - Amazon DynamoDB

Criptografia em trânsito do DAX

O Amazon DynamoDB Accelerator (DAX) oferece suporte à criptografia em trânsito de dados entre sua aplicação e seu cluster do DAX, permitindo a você usar o DAX em aplicações com requisitos rigorosos de criptografia.

Independentemente de você escolher ou não a criptografia em trânsito, o tráfego entre a aplicação e o cluster do DAX permanece em sua Amazon VPC. Esse tráfego é roteado para interfaces de rede elásticas com IPs privados em sua VPC que estão conectados aos nós do cluster. Com sua VPC como limite de confiança, você tem controle significativo sobre a segurança de seus dados por meio do uso de ferramentas padrão, como grupos de segurança, segmentação de sub-rede com ACLs de rede e rastreamento de fluxo de VPC. A criptografia em trânsito do DAX aumenta esse nível de confidencialidade de referência, garantindo que todas as solicitações e respostas entre a aplicação e o cluster sejam criptografadas por TLS (Transport Level Security) e que as conexões com o cluster possam ser autenticadas pela verificação de um certificado x509 de cluster. Os dados gravados em disco pelo DAX também podem ser criptografados se você escolher criptografia em repouso ao criar o cluster do DAX.

Usar criptografia em trânsito com DAX é fácil. Basta selecionar esta opção ao criar um novo cluster e usar uma versão recente de qualquer um dosclientes do DAX em sua aplicação. Os clusters que usam criptografia em trânsito não oferecem suporte a tráfego não criptografado, portanto, não há chance de configurar incorretamente sua aplicação e ignorar a criptografia. O cliente do DAX usará o certificado x509 do cluster para autenticar a identidade do cluster ao estabelecer as conexões, garantindo que suas solicitações do DAX vão para o destino pretendido. Todos os métodos de criação de clusters do DAX oferecem suporte à criptografia em trânsito: AWS Management Console, AWS CLI, todos os SDKs e AWS CloudFormation.

A criptografia em trânsito não pode ser habilitada em um cluster do DAX existente. Para usar criptografia em trânsito em uma aplicação do DAX existente, crie um novo cluster com criptografia em trânsito habilitada, mude o tráfego da aplicação para ele e exclua o cluster antigo.