投稿日: Oct 25, 2017
Amazon ElastiCache for Redis で、個人を特定できる情報 (PII) を安全に保護するために、ノード間の安全な通信で転送時と保管時の暗号化をサポートするようになりました。この新しい転送時の暗号化機能では、クライアントと Redis 間のすべての通信、および Redis サーバー (プライマリおよびリードレプリカノード) 間のすべての通信を暗号化できます。保管時の暗号化機能では、ディスク上および Amazon S3 内のバックアップを暗号化できます。さらに、Redis AUTH コマンドを使用して別の認証レベルを追加することもできます。
これらの新機能の主なハイライトと各機能が実際にもたらす利点は以下のとおりです。
- 容易なセットアップ: オープンソース Redis はネイティブ暗号化をサポートしないため、SSL プロキシを使用してセルフマネージド型のソリューションを構築する必要がありますが、これには多大な労力を必要とします。これらの機能を使用すると、すべてのデータ暗号化ニーズに対してフルマネージド型の対応ができます。新しい機能の使用を開始するには、クラスターの作成時に ElastiCache コンソールまたは API を使用して機能を有効にします。Redis クライアントで TLS プロトコルがサポートされている限り、Redis クライアントに小さな設定変更を行う以外は、アプリケーションを変更する必要がありません。Redis クライアントへの変更はシンプルです。たとえば、Jedis java クライアントの場合は、Redis 接続の作成時に isTls=true フラグを渡すだけです。
- 完全なセキュリティ証明書の管理: ElastiCache for Redis では証明書の発行、更新、有効期限が自動的に管理されるため、証明書のライフサイクルを管理する必要がありません。主なハイライトは以下のとおりです。
I. マネージド型の証明書の発行 – ElastiCache for Redis では、証明書の発行プロセスがアプリケーションに対して透過的に処理されます。認証機関から証明書を取得したり、取得した証明書をデプロイ/アップロードしたりする必要はありません。ElastiCache for Redis はバックグラウンドで信頼できる認証機関を使用し、サードパーティーの認証機関と関連するクライアントのセットアップやコストを最小限に抑えます。
II. マネージド型の証明書の更新 – ElastiCache for Redis は、Amazon から発行された TLS 証明書の更新およびデプロイプロセスを自動的に管理し、手動によるエラーを排除します。ElastiCache for Redis では、証明書の誤設定、失効、期限切れに伴うダウンタイムが最小限に抑えられます。
III. 安全なキー管理 – ElastiCache for Redis は、証明書で使用されるプライベートキーを保護および管理するように設計されています。プライベートキーを保護および保存する際には、強力な暗号化とキー管理に関するベストプラクティスが使用されます。
- オープンソース S2N ライブラリによるセキュリティの強化 – ElastiCache for Redis は TLS 1.2 プロトコルを使用し、Amazon S2N ライブラリに依存して強力な暗号化を提供します。S2N は、軽量かつ高速であると同時に強力な暗号化を提供する TLS プロトコルのオープンソース実装です。S2N ライブラリでは、高度な安全策として静的分析、侵入テスト、組み込みメモリ保護などを使用して、セキュリティ保護を強化します。
これらの機能は、追加料金なしで利用できます。現在、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、米国東部 (オハイオ)、米国東部 (バージニア北部)、カナダ (中部)、欧州 (アイルランド)、および南米 (サンパウロ) の各リージョンで使用できます。これらの機能は、AWS の他のリージョンにも拡大される予定です。
詳細については、転送時の暗号化の有効化と保管時の暗号化の有効化を参照してください。ElastiCache コンソールから、わずか数回のクリックで使用を開始できます。