Cifrado en tránsito de DAX
El Amazon DynamoDB Accelerator (DAX) admite el cifrado en tránsito de datos entre la aplicación y el clúster DAX, lo que le permite utilizar DAX en aplicaciones con requisitos de cifrado estrictos.
Independientemente de si elige o no el cifrado en tránsito, el tráfico entre la aplicación y el clúster DAX permanece en su Amazon VPC. Este tráfico se enruta a las interfaces de red elástica con IP privadas de la VPC que están adjuntas a los nodos del clúster. Con su VPC como límite de confianza, tiene un control significativo sobre la seguridad de sus datos mediante el uso de herramientas estándar como grupos de seguridad, segmentación de subredes con ACL de red y seguimiento de flujo de VPC. El cifrado en tránsito de DAX añade a este nivel básico de confidencialidad, lo que garantiza que todas las solicitudes y respuestas entre la aplicación y el clúster estén cifradas por seguridad de nivel de transporte (TLS), y las conexiones al clúster se pueden autenticar mediante la verificación de un certificado x509 del clúster. Los datos escritos en disco por DAX también se pueden cifrar si elige el cifrado en reposo al momento de crear su clúster de DAX.
Usar el cifrado en tránsito con DAX es fácil. Simplemente seleccione esta opción al momento de crear un nuevo clúster y utilice una versión reciente de cualquiera de los clientes de DAX en su aplicación. Los clústeres que usan cifrado en tránsito no admiten tráfico no cifrado, por lo que no hay posibilidad de configurar mal la aplicación y eludir el cifrado. El cliente DAX utilizará el certificado x509 del clúster para autenticar la identidad del clúster cuando establezca conexiones, garantizando que las solicitudes DAX vayan donde se desee. Todos los métodos de creación de clústeres DAX admiten el cifrado en tránsito: la AWS Management Console, la AWS CLI, todos los SDK y la AWS CloudFormation.
El cifrado en tránsito no se puede habilitar en un clúster DAX existente. Para utilizar el cifrado en tránsito en una aplicación DAX existente, cree un nuevo clúster con el cifrado en tránsito habilitado, mueva el tráfico de la aplicación hacia él y, a continuación, elimine el clúster anterior.