Шифрование на стороне клиента InMemoryDB

Шифрование на стороне клиента — наиболее распространённый и рекомендуемый подход для защиты данных в Managed Service for InMemoryDB. В этом случае приложение, взаимодействующее с InMemoryDB, полностью отвечает за шифрование и расшифрование данных, обеспечивая их защиту как во время передачи, так и при хранении в памяти.

Как работает

• Процесс шифрования — приложение шифрует данные перед отправкой в InMemoryDB с использованием команды SET. Зашифрованные данные хранятся в InMemoryDB в виде непрозрачных строк или бинарных данных.

• Процесс расшифрования — после получения данных из InMemoryDB (например, с помощью команды GET) приложение расшифровывает их, используя соответствующий ключ.

• Управление ключами — ключи шифрования хранятся и управляются на стороне клиента, что исключает их доступность для сервера Redis и третьих лиц.

Используемые технологии и библиотеки

Для реализации шифрования на стороне клиента используйте криптографические библиотеки, соответствующие языку программирования вашего приложения. Примеры популярных библиотек:

• Python:

  • cryptography — библиотека для выполнения современных криптографических операций, включая симметричное шифрование (например, AES-256);

  • PyCryptodome — альтернативная библиотека с поддержкой широкого набора алгоритмов, таких как AES, ChaCha20 и RSA;

• JavaScript/Node.js:

  • crypto — встроенный модуль Node.js для шифрования, хеширования и генерации ключей;

  • crypto-js — легковесная библиотека для выполнения криптографических операций, таких как AES и SHA-256;

• Java:

  • Java Cryptography Extension (JCE) — встроенные средства Java для шифрования, включая алгоритмы AES и RSA;

  • Bouncy Castle — расширенная библиотека с поддержкой множества криптографических стандартов;

• .NET:

  • System.Security.Cryptography — встроенная библиотека .NET для реализации шифрования, хеширования и управления ключами.

Пример использования

шифрования и расшифрования данных в Python с использованием библиотеки и клиента InMemoryDB (redis-py):

from cryptography.fernet import Fernet
import redis

# Генерация ключа шифрования
key = Fernet.generate_key()
cipher = Fernet(key)

# Подключение к Redis
client = redis.Redis(host='<host>', port=6379, decode_responses=True)

# Шифрование и сохранение данных
sensitive_data = "sensitive_value"
encrypted_data = cipher.encrypt(sensitive_data.encode()).decode()
client.set("my_key", encrypted_data)

# Получение и расшифрование данных
retrieved_data = client.get("my_key")
decrypted_data = cipher.decrypt(retrieved_data.encode()).decode()
print(decrypted_data)  # Вывод: sensitive_value

где: 

• <host> — IP-адрес ноды, к которой нужно подключиться. Подробнее см. раздел Доступ к кластеру InMemoryDB.

Рекомендации

1. Управление ключами — храните ключи шифрования в безопасных сервисах управления секретами.

2. Выбор алгоритма — используйте криптографически стойкие алгоритмы, такие как AES-256, для обеспечения высокого уровня безопасности.

3. Производительность — шифрование и расшифрование добавляют накладные расходы. Тестируйте приложение на больших объёмах данных, чтобы оценить влияние на производительность.

4. Шифрование соединения — активируйте TLS при создании кластера для защиты данных при передаче между клиентом и сервером Redis.