Publié le: Oct 25, 2017
Amazon ElastiCache pour Redis prend désormais en charge le chiffrement en transit et au repos pour sécuriser les communications entre nœuds et protéger les informations personnelles identifiables (PII). La nouvelle fonction de chiffrement en transit vous permet de chiffrer toutes les communications entre les clients et le serveur Redis, ainsi qu'entre les serveurs Redis (nœuds primaire et de réplica en lecture). Le chiffrement au repos vous permet de chiffrer toutes vos sauvegardes sur disque et dans Amazon S3. Vous pouvez également utiliser la commande AUTH de Redis pour ajouter un niveau supplémentaire d'authentification.
La section qui suit présente les principales caractéristiques de ces nouvelles fonctionnalités et les atouts de chacune d'entre elles :
- Facilité de configuration : le serveur Redis open source ne prend pas en charge le chiffrement natif des données. Vous devez créer des solutions auto-gérées à l'aide d'un proxy SSL, ce qui demande davantage de travail. Avec ces fonctionnalités, vous bénéficiez désormais d'une expérience entièrement gérée pour tous vos besoins de chiffrement de données. Vous pouvez commencer à utiliser les nouvelles fonctionnalités en les activant au moment de la création du cluster via la console ElastiCache ou via l'API. Tant que les clients Redis prennent en charge le protocole TLS, vous n'avez pas besoin d'apporter de grandes modifications à vos applications : il suffit de procéder à une légère modification de la configuration des clients Redis. La modification à apporter au client Redis est simple. Par exemple, avec un client Java Jedis, lorsque vous créez une connexion Redis, vous devez remplacer l'indicateur par isTls=true.
- Gestion complète des certificats de sécurité : vous n'avez pas besoin de gérer le cycle de vie de vos certificats car ElastiCache pour Redis gère automatiquement l'émission, le renouvellement et l'expiration de vos certificats. Points forts :
I. Émission de certificats gérés : ElastiCache pour Redis gère l'émission de certificats pour votre application en toute transparence. Vous n'avez pas besoin d'acquérir un certificat auprès de l'autorité de certification ni de déployer/charger le certificat une fois acquis. ElastiCache pour Redis utilise une autorité de certification approuvée en arrière-plan, ce qui réduit au minimum les frais et procédures de configuration client associés à une autorité de certification tierce.
II. Renouvellement des certificats gérés : ElastiCache pour Redis gère automatiquement le renouvellement des certificats ainsi que la procédure de déploiement pour les certificats TLS émis par Amazon, ce qui évite toute erreur manuelle. ElastiCache pour Redis réduit les temps d'arrêt dus aux certificats mal configurés, révoqués ou expirés.
III. Gestion des clés sécurisée : ElastiCache pour Redis est conçu pour protéger et gérer les clés privées utilisées avec les certificats. Un chiffrement avancé et de bonnes pratiques de gestion des clés sont utilisés lors de la protection et du stockage des clés privées.
- Bibliothèque S2N open source pour une sécurité renforcée : ElastiCache pour Redis utilise le protocole TLS 1.2 et repose sur la bibliothèque Amazon S2N pour assurer un chiffrement puissant. S2N est une implémentation open source du protocole TLS qui est à la fois légère et rapide, tout en permettant un chiffrement puissant. La bibliothèque S2N utilise des mécanismes de sécurité avancés tels que l'analyse statique, la réalisation de tests d'intrusion et la protection intégrée de la mémoire, pour une sécurité renforcée.
Ces fonctionnalités sont disponibles sans frais supplémentaires dans les régions USA Ouest (Oregon), USA Ouest (Californie du Nord), USA Est (Ohio), USA Est (Virginie du Nord), Canada (Centre), UE (Irlande) et Amérique du Sud (São Paulo). Elles seront prochainement disponibles dans les autres régions AWS.
Pour en savoir plus, consultez les sections relatives au Chiffrement en transit et au Chiffrement au repos. Pour vous lancer en quelques clics, connectez-vous à la console ElastiCache.