Шифрование на стороне клиента InMemoryDB

Шифрование на стороне клиента — наиболее распространённый и рекомендуемый подход для защиты данных в Managed Service for InMemoryDB. В этом случае приложение, взаимодействующее с InMemoryDB, полностью отвечает за шифрование и расшифрование данных, обеспечивая их защиту как во время передачи, так и при хранении в памяти.

Как работает

• Процесс шифрования — приложение шифрует данные перед отправкой в InMemoryDB с использованием команды SET. Зашифрованные данные хранятся в InMemoryDB в виде непрозрачных строк или бинарных данных.

• Процесс расшифрования — после получения данных из InMemoryDB (например, с помощью команды GET) приложение расшифровывает их, используя соответствующий ключ.

• Управление ключами — ключи шифрования хранятся и управляются на стороне клиента, что исключает их доступность для сервера InMemoryDB и третьих лиц.

Используемые технологии и библиотеки

Для реализации шифрования на стороне клиента используйте криптографические библиотеки, соответствующие языку программирования вашего приложения. Примеры популярных библиотек:

• Python:

  • cryptography — современная библиотека для выполнения криптографических операций, включая симметричное шифрование (AES-256) и управление ключами. Проста в использовании и поддерживает режимы GCM и CBC;

  • PyCryptodome — библиотека с поддержкой широкого набора алгоритмов (AES, RSA, ChaCha20) и криптографических примитивов;

• JavaScript/Node.js:

  • crypto — встроенный модуль Node.js для шифрования, хеширования и генерации ключей. Подходит для базовых задач;

  • crypto-js — легковесная библиотека для операций шифрования (AES, SHA-256), удобна для веб-приложений;

• Java:

  • Java Cryptography Extension (JCE) — встроенный инструментарий Java для шифрования, включая алгоритмы AES, RSA и SHA. Подходит для большинства приложений;

  • Bouncy Castle — расширенная библиотека с поддержкой множества криптографических стандартов;

• .NET:

  • System.Security.Cryptography — встроенная библиотека .NET для реализации шифрования (AES, RSA), хеширования и управления ключами.

Пример использования

Пример шифрования и расшифрования данных в Python с использованием библиотеки cryptography и клиента InMemoryDB (redis-py):

from cryptography.fernet import Fernet
import redis

# Генерация ключа шифрования
key = Fernet.generate_key()
cipher = Fernet(key)

# Подключение к InMemoryDB
client = redis.Redis(host='<host>', port=6379, decode_responses=True)

# Шифрование и сохранение данных
sensitive_data = "sensitive_value"
encrypted_data = cipher.encrypt(sensitive_data.encode()).decode()
client.set("my_key", encrypted_data)

# Получение и расшифрование данных
retrieved_data = client.get("my_key")
decrypted_data = cipher.decrypt(retrieved_data.encode()).decode()
print(decrypted_data)  # Вывод: sensitive_value

где: 

• <host> — IP-адрес ноды, к которой нужно подключиться. Подробнее см. раздел Доступ к кластеру InMemoryDB.

Рекомендации

1. Управление ключами — храните ключи шифрования в безопасных сервисах управления секретами.

2. Выбор алгоритма — используйте криптографически стойкие алгоритмы, такие как AES-256, для обеспечения высокого уровня безопасности.

3. Производительность — шифрование и расшифрование добавляют накладные расходы. Тестируйте приложение на больших объёмах данных, чтобы оценить влияние на производительность.

4. Шифрование соединения — активируйте TLS при создании кластера для защиты данных при передаче между клиентом и сервером InMemoryDB.