Définition des seuils de sécurité du cache - AWS Encryption SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définition des seuils de sécurité du cache

Lorsque vous implémentez la mise en cache des clés de données, vous devez configurer les seuils de sécurité appliqués par le kitmise en cache de CMMapplique.

Les seuils de sécurité vous aident à limiter la durée d'utilisation de chaque clé de données mise en cache et la quantité de données protégée par chaque clé de données. Le CMM de mise en cache renvoie des clés de données mises en cache uniquement lorsque l'entrée de cache respecte tous les seuils de sécurité. Si l'entrée de cache dépasse un seuil, elle n'est pas utilisée pour l'opération actuelle et elle est expulsée du cache dès que possible. La première utilisation de chaque clé de données (avant la mise en cache) n'est pas comptabilisée dans ces seuils.

En règle générale, utilisez le volume de cache minimum nécessaire pour atteindre vos objectifs de coûts et de performance.

Le kit AWS Encryption SDK met uniquement en cache les clés de données qui sont chiffrées à l'aide d'une fonction de dérivation de clés. Il établit également des limites supérieures pour certaines valeurs de seuil. Ces restrictions garantissent que les clés de données ne sont pas réutilisées au-delà de leurs limites de chiffrement. Cependant, étant donné que vos clés de données en texte brut sont mises en cache (dans la mémoire, par défaut), essayez de réduire le temps d'enregistrement des clés. Essayez également de limiter les données qui pourraient être exposées si une clé est compromise.

Pour obtenir des exemples de définition de seuils de sécurité du cache, voirAWS Encryption SDK : Comment déterminer si la mise en cache des clés de données convient à votre applicationdans leAWSBlog sur la sécurité.

Note

Le CMM de mise en cache applique tous les seuils suivants. Si vous ne spécifiez pas de valeur facultative, le CMM de mise en cache utilise la valeur par défaut.

Pour désactiver temporairement la mise en cache des clés de données, les implémentations Java et Python du kitAWS Encryption SDKFournissez uncache de matériaux de chiffrement nul(cache nul). Le cache nul renvoie un message d'échec pour chaque demande GET et ne répond pas aux demandes PUT. Nous vous recommandons d'utiliser le cache nul au lieu de la définir la capacité de cache ou les seuils de sécurité à 0. Pour plus d'informations, consultez le cache nul dans Java and Python.

Âge maximum (obligatoire)

Détermine la durée pendant laquelle une entrée mise en cache peut être utilisée, à partir du moment où elle a été ajoutée. Cette valeur est obligatoire. Saisissez une valeur supérieure à 0. Le kit AWS Encryption SDK ne limite pas la valeur d'âge maximum.

Toutes les implémentations de langage du kitAWS Encryption SDKdéfinir l'âge maximum en secondes, à l'exception duKit SDK de chiffrement AWS pour JavaScript, qui utilise des millisecondes.

Utilisez l'intervalle le plus court qui permet cependant à votre application de tirer parti du cache. Vous pouvez utiliser le seuil d'âge maximal comme une stratégie de rotation des clés. Utilisez-le pour limiter la réutilisation des clés de données, minimiser l'exposition des matériaux de chiffrement et expulser les clés de données dont les stratégies ont pu être modifiées pendant qu'elles étaient mises en cache.

Nombre maximal de messages chiffrés (facultatif)

Spécifie le nombre maximal de messages qu'une clé de données mise en cache peut chiffrer. Cette valeur est facultative. Saisissez une valeur comprise entre 1 et 2^32 messages. La valeur par défaut est 2^32 messages.

Définissez le nombre de messages protégés par chaque clé mise en cache de sorte qu'il soit suffisamment grand pour obtenir des valeurs par la réutilisation, mais suffisamment petit pour limiter le nombre de messages pouvant être exposés si une clé est compromise.

Nombre maximal d'octets chiffrés (facultatif)

Spécifie le nombre maximal d'octets qu'une clé de données mise en cache peut chiffrer. Cette valeur est facultative. Saisissez une valeur comprise entre 0 et 2^63 - 1. La valeur par défaut est 2^63 - 1. Une valeur de 0 vous permet d'utiliser la mise en cache des clés de données uniquement lorsque vous chiffrez des chaînes de message vides.

Les octets de la demande en cours sont inclus lors de l'évaluation de ce seuil. Si le nombre d'octets traités plus le nombre d'octets en cours dépassent le seuil, la clé de données mise en cache est expulsée du cache, même si elle aurait pu être utilisée pour une demande plus petite.