Amazon ElastiCache for Redisが保管時の暗号化に対応しました
2017年10月末のアップデートにより、Amazon ElastiCache for Redis が保管時の暗号化に対応しました。。
保管時の暗号化を有効にすると
- ディスク上の sync
- バックアップ
- スナップショット
といったデータが暗号化されます。
これらの機能追加により、個人を特定できる情報(PII)など機密度の高い情報を扱うシステムでAmazon ElastiCache for Redisを導入しやすくなりました。
同時に機能追加された、通信暗号化とクライアント認証は次のブログをご確認下さい。
設定
Redisクラスター作成時に「Encryption at-rest」をチェックするだけです。 暗号化に伴う追加費用は発生しません。
2017/11/15時点では、最新の 3.2.10 では利用出来ません。お気をつけ下さい。
Enables encryption of data on-the-wire. Currently, enabling encryption in-transit can only be done when creating a Redis cluster using Redis version 3.2.6 only.
作成済みのクラスターで有効にすることは出来ません。クラスターの再作成が必要です。
保管時の暗号を有効にしたクラスターの識別方法
管理コンソール
Redis クラスターで赤枠を確認下さい。
CLI
aws elasticache describe-cache-clusters のレスポンスの
- AtRestEncryptionEnabled
を確認します。
$ aws elasticache describe-cache-clusters
{
"CacheClusters": [
{
...
"TransitEncryptionEnabled": true,
"Engine": "redis",
...
"AuthTokenEnabled": true,
"AtRestEncryptionEnabled": true,
"EngineVersion": "3.2.6",
...
}
]
}
注意
Redis のみ対応。Memcached は未対応
Amazon ElastiCache for Redis にのみ対応しています。 Memcached では使えません。
パフォーマンスへの影響
保管時の暗号化を有効すると、データの暗号・復号のオーバーヘッドが発生します。 パフォーマンスが求められるシステムでは、暗号の有無によるパフォーマンスへの影響をベンチマークするようにお願いします。
対応バージョン
保管時の暗号化は 3.2.6 にしか対応しておりません。 2017/11/15時点で最新の 3.2.10 では利用出来ないため、お気をつけ下さい。
設定は新規作成時のみ有効
暗号化はクラスター作成時のみ指定出来ます。
既存クラスターへの有効化・無効化は出来ません。
まとめ
補完時の暗号化という、地味ではありますが、セキュリティが重要視されるお客様・システム向けには、要件を満たす上で非常に大事な機能追加です。
データ暗号の際にはオーバーヘッドが発生するため、パフォーマンスへのインパクトにお気をつけ下さい。
参考
- https://aws.amazon.com/about-aws/whats-new/2017/10/amazon-elasticache-for-redis-now-supports-in-transit-and-at-rest-encryption-to-help-protect-sensitive-information/
- https://aws.amazon.com/blogs/security/amazon-elasticache-now-supports-encryption-for-elasticache-for-redis/
- http://docs.aws.amazon.com/AmazonElastiCache/latest/UserGuide/at-rest-encryption.html#at-rest-encryption-enable
