Redis Enterprise 6.2.4 đã giới thiệu mã hóa lóng. Phạm vi mã hóa lóng trong Redis Enterprise là đạt được mã hóa TLS cho tất cả các kết nối cụm Redis nội bộ giữa các nút, bao gồm:
- Tăng cường kết nối mặt phẳng điều khiển để mã hóa bản sao CCS (Cluster Configuration Store).
- Tất cả các kết nối đến CCS nút chính từ các nút bản sao.
- Kết nối mặt phẳng dữ liệu để mã hóa sao chép phân đoạn giữa các nút.
- Tất cả các kết nối proxy đến phân đoạn giữa các nút.
Redis Enterprise:Cân nhắc về Thiết kế
Redis Enterprise sử dụng một số kỹ thuật để tối ưu hóa hiệu suất và tính khả dụng. Cụm Redis sử dụng kiến trúc không chia sẻ gì, giúp tăng độ tin cậy và tính khả dụng, đồng thời dễ dàng thêm và xóa các nút. Khi tiếp cận yêu cầu mã hóa tất cả các kết nối lóng, nhóm đã tập trung vào tính khả dụng và tính đơn giản trong hoạt động.
Một hệ thống phân tán, luôn bật, chẳng hạn như Redis Enterprise cung cấp năng lượng cho nhiều ứng dụng quan trọng. Nó được yêu cầu để đáp ứng tiêu chuẩn cao nhất về khả năng hoạt động. Redis Cloud, được cung cấp bởi Redis Enterprise, cung cấp 99,999% tính khả dụng, có nghĩa là nó chỉ có thể ngừng hoạt động trong vài phút mỗi năm. Truyền thông cụm internode rất quan trọng để duy trì túc số (hoạt động đường dẫn điều khiển) và cho phép sao chép Redis (hoạt động đường dẫn dữ liệu). Do đó, bắt buộc phải có tính sẵn sàng cao để duy trì độ tin cậy của liên lạc các lóng mọi lúc.
Tổ chức phát hành chứng chỉ riêng (CA) là gì ?:
A Tổ chức phát hành chứng chỉ riêng (CA) là tổ chức phát hành chứng chỉ dành riêng cho từng cụm có chức năng giống như CA được công khai tin cậy. Cụm Redis tạo chứng chỉ gốc riêng tư của riêng nó, chứng chỉ này có thể cấp các chứng chỉ riêng khác cho mỗi nút. Các chứng chỉ riêng do Private CA cấp không được công khai tin cậy. Private CA không được hiển thị bên ngoài cụm. Private CA không được chia sẻ giữa các cụm Redis hoặc với bất kỳ máy khách hoặc dịch vụ bên ngoài nào. Các chứng chỉ được ký bởi Private CA (chứng chỉ thực thể cuối) là dành riêng cho nút mà chúng được cấp.
Private CA được sử dụng trong Redis Enterprise cung cấp một cơ chế tự luân chuyển nội bộ liền mạch. Việc xoay chứng chỉ sẽ được thực hiện tự động trước khi hết hạn. Việc xoay chứng chỉ cũng có thể được thực hiện theo yêu cầu thông qua API REST. Cảnh báo cũng sẽ được cung cấp để theo dõi bởi các nhóm ứng dụng, cơ sở dữ liệu và bảo mật. Private CA loại bỏ sự phụ thuộc vào tính khả dụng của CA bên ngoài để xoay vòng chứng chỉ, loại bỏ điểm lỗi tiềm ẩn và cải thiện tính khả dụng tổng thể của cụm.
Redis Enterprise đạt được điều này thông qua việc sử dụng Tổ chức phát hành chứng chỉ riêng (CA) để quản lý các chứng chỉ cần thiết cho mã hóa lóng. Khách hàng thường có những mối quan tâm chính sau đây liên quan đến việc sử dụng CA riêng.
Mối quan tâm của Khách hàng:
- Không có chứng chỉ tự ký hoặc CA riêng nào được phép trong môi trường của chúng tôi.
- Một CA riêng không được tin cậy công khai và do đó không thể thiết lập sự tin cậy để giao tiếp với bên ngoài.
- Các CA riêng thường không được bảo vệ đầy đủ để chống lại sự xâm phạm.
Mối quan tâm đầu tiên thực sự không phải là mối quan tâm về bảo mật. Đây là một yêu cầu tuân thủ. Nhiều tổ chức đã viết các chính sách chung để hoàn toàn không cho phép chứng chỉ tự ký mà không xem xét các trường hợp sử dụng hợp lệ trong đó chứng chỉ tự ký là lựa chọn tốt nhất. Yêu cầu này có ý nghĩa đối với nhiều trường hợp, nhưng không phải tất cả, và đã khiến chính các tổ chức đó yêu cầu các quy trình chuyên sâu để cấp phép loại trừ cho các trường hợp mà chính sách chung không phù hợp. Một ví dụ là mã hóa lóng Redis Enterprise. Trong ví dụ cụ thể này, một CA riêng phục vụ một mục đích cụ thể.
Trước tiên, hãy xác định chứng chỉ tự ký . Chứng chỉ tự ký là chứng chỉ không được ký bởi CA bên thứ ba đáng tin cậy công khai. Loại chứng chỉ này được tạo, cấp và ký bởi tổ chức chịu trách nhiệm về trang web hoặc ứng dụng mà chứng chỉ được cấp. Các chứng chỉ này được phát hành miễn phí và sử dụng các mật mã giống như chứng chỉ do CA bên thứ ba đáng tin cậy cấp.
Bạn có thể tự hỏi mình:"Nếu một tổ chức không cho phép sử dụng chứng chỉ tự ký, thì đâu là giải pháp thay thế?" Giải pháp thay thế điển hình là sử dụng chứng chỉ do CA bên thứ ba đáng tin cậy cấp. Một tổ chức có thể mua các chứng chỉ này từ nhiều bên thứ ba khác nhau mà CA đáng tin cậy và sau đó cấp chứng chỉ cho trang web hoặc ứng dụng của họ. Chứng chỉ do CA bên thứ ba đáng tin cậy cấp cũng giống như chứng chỉ tự ký về mặt bảo mật.
Câu hỏi tiếp theo mà chúng ta nên đặt ra là - Sự khác biệt, nếu có, có giữa chứng chỉ tự ký và chứng chỉ do CA bên thứ ba đáng tin cậy cấp không? Mỗi chứng chỉ hỗ trợ các mật mã giống nhau. Mỗi loại bao gồm các chứng chỉ gốc, trung gian và lá. Mỗi loại cũng có thể hết hạn hoặc bị thu hồi nếu cần. Sự khác biệt duy nhất là sự khác biệt về chức năng giữa chứng chỉ tự ký và chứng chỉ do CA bên thứ ba đáng tin cậy cấp. Chức năng đó là sự tin cậy. CA của bên thứ ba đáng tin cậy có thể phát hành chứng chỉ có thể được sử dụng để thiết lập sự tin cậy giữa hai thực thể không liên quan.
Khi nào cần có sự tin tưởng? Tin tưởng là một phần bắt buộc của giải pháp khi hai thực thể không liên quan đang giao tiếp. Một ví dụ điển hình về điều này là giao tiếp giữa trình duyệt web và ứng dụng web. Việc sử dụng chứng chỉ đáng tin cậy do CA cấp bên thứ ba cho phép giao tiếp được mã hóa nhưng cũng cho phép trình duyệt web biết rằng ứng dụng web thực sự là ứng dụng mà chúng thể hiện. Do đó, trình duyệt sẽ nhắc người dùng nếu họ tin tưởng ứng dụng web và muốn tiếp tục giao tiếp.
Khi nào thì không cần sự tin tưởng? Sự tin cậy không phải là một phần bắt buộc của giải pháp khi hai thực thể có liên quan đang giao tiếp. Mã hóa lóng của Redis Enterprise là một ví dụ điển hình về kiểu giao tiếp này. Redis Enterprise bao gồm một cụm và một cụm duy nhất có thể chứa nhiều nút. Cũng có thể có một hoặc nhiều cơ sở dữ liệu trên một nút. Bởi vì mỗi nút thuộc cùng một cụm, không cần bên thứ ba để thiết lập sự tin cậy. Mỗi nút đã tin cậy mọi nút khác vì chúng thuộc cùng một cụm.
Giải pháp Doanh nghiệp của Redis:
Redis Enterprise giảm thiểu những lo ngại về tuân thủ và bảo mật này vì các chứng chỉ do Private CA tạo ra chỉ được sử dụng trong cụm. Bởi vì mỗi nút đều được tất cả các nút khác trong cùng một cụm biết và tin cậy, CA đáng tin cậy của bên thứ ba không thêm gì và không bắt buộc phải thiết lập sự tin cậy trong cụm Redis.