Proteggere l'accesso ai cluster utilizzando l'autenticazione di base basata su token

Oltre all'autenticazione Identity and Access Management (IAM), puoi utilizzare l'autenticazione di base basata su token per proteggere l'accesso ai tuoi cluster in Memorystore for Redis Cluster. In quanto soluzione leggera, l'autenticazione di base basata su token consente ai client di verificare la propria identità all'interno delle applicazioni utilizzando i propri token.

L'autenticazione di base basata su token ha requisiti di risorse minimi e un overhead di risorse basso. Inoltre, se i tuoi attuali carichi di lavoro su Memorystore for Redis o le tue applicazioni on-premise utilizzano già l'autenticazione di base basata su token, questa funzionalità facilita una transizione senza problemi quando esegui la migrazione a Memorystore for Redis Cluster.

Vantaggi

Utilizzando l'autenticazione di base basata su token, ottieni i seguenti vantaggi:

• Flessibilità: per i cluster nuovi ed esistenti, attiva l'autenticazione in qualsiasi momento. Quando attivi l'autenticazione di base basata su token, i tuoi cluster sono protetti. Per tutte le nuove connessioni, gli utenti devono fornire un token per autenticarsi nei tuoi cluster.
• Rotazione senza tempi di inattività: ruota i token utente senza causare tempi di inattività per le tue applicazioni.
• Compatibilità: il superutente default mantiene gli stessi privilegi concessi a questo utente. L'autenticazione di base basata su token aggiunge un ulteriore livello di protezione. Ciò garantisce la compatibilità con le versioni precedenti quando esegui la migrazione dei tuoi carichi di lavoro da Memorystore for Redis a Memorystore for Redis Cluster.

Modalità di autenticazione

L'autenticazione di base basata su token supporta due modalità di autenticazione principali:

• Autenticazione semplice: un metodo semplice in cui un utente invia un token di autenticazione per autenticarsi come utente default
• Autenticazione multiutente: gestisci più utenti per autenticare l'accesso ai tuoi cluster

Best practice

Per motivi di sicurezza, ti consigliamo di utilizzare le seguenti best practice per l'autenticazione di base basata su token:

• Ruota i token utente: utilizza una policy di rotazione per i token utente.

• Utilizza Secret Manager: non codificare in modo permanente le credenziali di autenticazione di base basate su token di un utente nel codice dell'applicazione. Archiviali invece in Secret Manager e recuperali in fase di runtime.

  Secret Manager fornisce un vault centralizzato e criptato per le credenziali utente, il che elimina la proliferazione dei secret e riduce il sovraccarico operativo della gestione manuale delle credenziali. Applica i controlli dell'accesso utilizzando IAM e genera automaticamente i log di controllo. In questo modo, garantiamo la conformità ed evitiamo l'esposizione delle credenziali.

• Combina l'autenticazione di base basata su token con Transport Layer Security (TLS): quando utilizzi l'autenticazione di base basata su token, ti consigliamo di attivare la crittografia in transito. In questo modo, i nomi utente e i token non vengono inviati in testo normale sulla rete.

Prima di iniziare

Prima di iniziare a proteggere i cluster utilizzando l'autenticazione di base basata su token, completa i prerequisiti descritti in questa sezione.

Verifica il supporto del client per l'autenticazione di base basata su token

Per verificare che le applicazioni client possano supportare l'autenticazione di base basata su token, assicurati che possano utilizzare il comando AUTH.

L'utente default esegue l'autenticazione nelle tue applicazioni client utilizzando il seguente comando:

AUTH TOKEN

Per questo comando, TOKEN è il token di autenticazione dell'utente predefinito.

Tutti gli altri utenti si autenticano utilizzando il seguente comando:

AUTH USERNAME TOKEN

Per questo comando, USERNAME e TOKEN sono il nome utente e il token di autenticazione dell'utente.

Per saperne di più sul comando AUTH, consulta AUTH nella documentazione di Redis.

Utilizza la console Google Cloud , Google Cloud CLI e le API

Per utilizzare la console Google Cloud , gcloud CLI e le API, segui questi passaggi:

1. Nella console Google Cloud , nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud .

   Vai al selettore di progetti

2. Verifica che la fatturazione sia attivata per il tuo progetto. Scopri come verificare se la fatturazione è abilitata per un progetto.

3. Installa e inizializza Google Cloud CLI (gcloud CLI).

   Nota:se hai installato gcloud CLI, assicurati di avere l'ultima versione eseguendo gcloud components update. Per accedere ai comandi gcloud CLI di Memorystore for Redis Cluster, devi disporre almeno della versione 489.0.0 di gcloud CLI.

4. Abilita l'API Memorystore for Redis Cluster.
   API Memorystore for Redis Cluster
5. Abilita l'API Network Connectivity.
   API Network Connectivity
6. Abilita l'API Service Consumer Management.
   API Service Consumer Management

Assegna i ruoli

Per configurare l'autenticazione di base basata su token per i cluster, devi disporre di uno di questi ruoli IAM nel tuo progetto Google Cloud :

• roles/redis.admin (il ruolo di amministratore Redis)
• roles/owner (ruolo Proprietario)
• roles/editor (il ruolo Editor)

Gestire l'autenticazione di base basata su token per i cluster

Memorystore for Redis Cluster supporta le seguenti azioni per gestire l'autenticazione di base basata su token per i cluster:

• Crea un cluster con autenticazione di base basata su token
• Attivare l'autenticazione di base basata su token per un cluster
• Crea un utente di autenticazione di base basata su token per un cluster
• Elenca gli utenti dell'autenticazione di base basata su token per un cluster
• Visualizzare le informazioni su un utente con autenticazione di base basata su token
• Eliminare un utente con autenticazione di base basata su token da un cluster

Crea un cluster con autenticazione di base basata su token

Creando un cluster con l'autenticazione di base basata su token, hai a disposizione un metodo leggero e ampiamente supportato per limitare l'accesso di un utente al cluster.

Puoi creare il cluster utilizzando gcloud CLI.

Per creare un cluster in cui è abilitata l'autenticazione di base basata su token, utilizza il comando gcloud beta redis clusters create.

gcloud beta redis clusters create CLUSTER_ID \
--region=REGION \
--auth-mode=token-auth

Effettua le seguenti sostituzioni:

• CLUSTER_ID: l'ID del cluster che vuoi creare per utilizzare l'autenticazione di base basata su token
• REGION: la regione in cui vuoi che si trovi il cluster

Abilita l'autenticazione di base basata su token per un cluster

Se abiliti l'autenticazione di base basata su token per un cluster, hai a disposizione un metodo leggero e ampiamente supportato per limitare l'accesso di un utente al cluster.

L'utente default può autenticarsi nel cluster utilizzando solo il proprio token. Tutti gli altri utenti si autenticano utilizzando un nome utente e un token standard. Per maggiori informazioni, consulta Verificare il supporto del client per l'autenticazione di base basata su token.

L'attivazione dell'autenticazione di base basata su token potrebbe causare tempi di inattività per le applicazioni che tentano di creare nuove connessioni perché Memorystore for Redis Cluster richiede richieste autenticate. Sebbene le connessioni esistenti rimangano invariate, per utilizzare l'autenticazione di base basata su token per eventuali tentativi di connessione successivi al cluster, devi aggiornare le applicazioni. Per saperne di più, consulta Connettersi a un cluster utilizzando l'autenticazione di base basata su token.

Puoi attivare l'autenticazione di base basata su token per un cluster utilizzando gcloud CLI.

Per abilitare l'autenticazione di base basata su token, utilizza il comando gcloud beta redis clusters update.

gcloud beta redis clusters update CLUSTER_ID \
--region=REGION \
--auth-mode=token-auth

Effettua le seguenti sostituzioni:

• CLUSTER_ID: l'ID del cluster per cui vuoi attivare l'autenticazione di base basata su token
• REGION: la regione in cui si trova il cluster

Crea un utente di autenticazione di base basata su token per un cluster

Se crei un utente di autenticazione di base basata su token per un cluster, configuri il cluster in modo da consentire l'autenticazione multiutente. Dopo l'accesso iniziale dell'utente, questa modalità di autenticazione funge da credenziale sicura e revocabile per le nuove connessioni. L'utente può continuare a utilizzare il token di autenticazione finché non lo elimina o non viene rimosso.

Puoi creare un utente di autenticazione di base basata su token utilizzando gcloud CLI.

Per creare l'utente, utilizza il comando gcloud beta redis clusters create-token-auth-user.

gcloud beta redis clusters create-token-auth-user CLUSTER_ID \
--region=REGION \
--token-auth-user=USERNAME

Effettua le seguenti sostituzioni:

• CLUSTER_ID: l'ID del cluster per cui vuoi creare un utente con autenticazione di base basata su token
• REGION: la regione in cui si trova il cluster
• USERNAME: il nome utente dell'utente

Elenca gli utenti dell'autenticazione di base basata su token per un cluster

Puoi recuperare un elenco di utenti con autenticazione di base basata su token per un cluster utilizzando gcloud CLI.

Per elencare gli utenti, utilizza il comando gcloud beta redis clusters token-auth-users list.

gcloud beta redis clusters token-auth-users list \
--cluster=CLUSTER_ID \
--region=REGION

Effettua le seguenti sostituzioni:

• CLUSTER_ID: l'ID del cluster per cui vuoi recuperare un elenco di utenti con autenticazione di base basata su token.
• REGION: la regione in cui si trova il cluster

Visualizza le informazioni su un utente con autenticazione di base basata su token

Puoi visualizzare le informazioni su un utente con autenticazione di base basata su token utilizzando gcloud CLI.

Per visualizzare le informazioni sull'utente, utilizza il comando gcloud beta redis clusters token-auth-users describe.

gcloud beta redis clusters token-auth-users describe USERNAME \
--cluster=CLUSTER_ID \
--region=REGION

Effettua le seguenti sostituzioni:

• USERNAME: il nome utente dell'utente con autenticazione di base basata su token di cui vuoi visualizzare le informazioni
• CLUSTER_ID: l'ID del cluster a cui l'utente può autenticarsi
• REGION: la regione in cui si trova il cluster

Elimina un utente con autenticazione di base basata su token da un cluster

Se elimini un utente con autenticazione di base basata su token da un cluster, revochi i diritti di accesso dell'utente al cluster.

Puoi eliminare un utente con autenticazione di base basata su token da un cluster utilizzando gcloud CLI.

Per eliminare l'utente, utilizza il comando gcloud beta redis clusters token-auth-users delete.

gcloud beta redis clusters token-auth-users delete USERNAME \
--cluster=CLUSTER_ID \
--region=REGION

Effettua le seguenti sostituzioni:

• USERNAME: il nome utente dell'utente con autenticazione di base basata su token
• CLUSTER_ID: l'ID del cluster da cui vuoi eliminare l'utente
• REGION: la regione in cui si trova il cluster

Per l'utente che stai eliminando, Memorystore for Redis Cluster non termina le connessioni esistenti. Per terminare queste connessioni, esegui questo comando su tutti i nodi del cluster:

CLIENT KILL USER USERNAME

Gestire l'autenticazione di base basata su token per gli utenti

Memorystore for Redis Cluster supporta le seguenti azioni per gestire l'autenticazione di base basata su token per gli utenti:

• Creare un token di autenticazione per un utente
• Elencare i token di autenticazione per un utente
• Visualizzare le informazioni su un token di autenticazione per un utente
• Eliminare un token di autenticazione da un utente

Creare un token di autenticazione per un utente

Creando un token di autenticazione per un utente, puoi ruotare il token esistente dell'utente senza causare tempi di inattività per le tue applicazioni.

Puoi creare un token di autenticazione per un utente utilizzando gcloud CLI.

Per creare l'utente, utilizza il comando gcloud beta redis clusters token-auth-users create-auth-token.

gcloud beta redis clusters token-auth-users create-auth-token USERNAME \
--cluster=CLUSTER_ID \
--region=REGION

Effettua le seguenti sostituzioni:

• USERNAME: il nome utente dell'utente per cui vuoi creare un token di autenticazione
• CLUSTER_ID: l'ID del cluster a cui l'utente può accedere utilizzando il token
• REGION: la regione in cui si trova il cluster

Elenca i token di autenticazione per un utente

Puoi recuperare un elenco di token di autenticazione per un utente utilizzando gcloud CLI.

Per elencare i token, utilizza il comando gcloud beta redis clusters token-auth-users auth-tokens list.

gcloud beta redis clusters token-auth-users auth-tokens list \
--token-auth-user=USERNAME \
--cluster=CLUSTER_ID \
--region=REGION

Effettua le seguenti sostituzioni:

• USERNAME: il nome utente dell'utente a cui appartengono i token di autenticazione
• CLUSTER_ID: l'ID del cluster a cui l'utente può accedere utilizzando i token di autenticazione
• REGION: la regione in cui si trova il cluster

Visualizzare le informazioni su un token di autenticazione per un utente

Puoi visualizzare le informazioni su un token di autenticazione per un utente utilizzando gcloud CLI.

Per visualizzare le informazioni, utilizza il comando gcloud beta redis clusters token-auth-users auth-tokens describe.

gcloud beta redis clusters token-auth-users auth-tokens describe AUTH_TOKEN \
--cluster=CLUSTER_ID \
--region=REGION \
--token-auth-user=USERNAME

Effettua le seguenti sostituzioni:

• AUTH_TOKEN: il nome del token di autenticazione di cui vuoi visualizzare le informazioni
• CLUSTER_ID: l'ID del cluster a cui l'utente può accedere utilizzando il token
• REGION: la regione in cui si trova il cluster
• USERNAME: il nome utente dell'utente a cui appartiene il token di autenticazione

Eliminare un token di autenticazione da un utente

L'eliminazione di un token di autenticazione da un utente è un'azione di sicurezza critica che invalida il token.

Puoi eliminare un token di autenticazione da un utente utilizzando gcloud CLI.

Per eliminare il token, utilizza il comando gcloud beta redis clusters token-auth-users auth-tokens delete.

gcloud beta redis clusters token-auth-users auth-tokens delete AUTH_TOKEN \
--cluster=CLUSTER_ID \
--region=REGION \
--token-auth-user=USERNAME

Effettua le seguenti sostituzioni:

• AUTH_TOKEN: il nome del token di autenticazione che vuoi eliminare dall'utente
• CLUSTER_ID: l'ID del cluster a cui vuoi impedire l'accesso all'utente eliminando il token
• REGION: la regione in cui si trova il cluster
• USERNAME: il nome utente dell'utente che ha un token che vuoi eliminare

Connettersi a un cluster utilizzando l'autenticazione di base basata su token

Puoi utilizzare i seguenti metodi per connetterti a un cluster utilizzando l'autenticazione di base basata su token:

• Stringa URI (Uniform Resource Identifier): questa singola stringa formattata viene utilizzata per comodità perché tutte le informazioni di connessione necessarie (ad esempio, il nome utente e il token dell'utente, nonché l'indirizzo IP e il nome host del cluster) sono contenute in una singola stringa.
• Flag: questo metodo è più adatto per l'utilizzo di singoli strumento a riga di comando, script o ambienti in cui la configurazione è suddivisa in variabili di ambiente separate utilizzando più argomenti separati.

Nelle sezioni seguenti viene spiegato ogni metodo di connessione.

Utilizzare una stringa URI

Per connetterti da una VM Compute Engine o da un ambiente supportato utilizzando una stringa URI, utilizza il seguente comando:

redis-cli -u
redis://USERNAME:TOKEN@IP_ADDRESS:PORT

Effettua le seguenti sostituzioni:

• USERNAME: il nome utente dell'utente che tenta di connettersi al cluster
• TOKEN: il token di autenticazione dell'utente
• IP_ADDRESS: l'indirizzo IP del cluster
• PORT: il numero di porta riservato al cluster

Utilizzare i flag

Per connetterti da una VM di Compute Engine o da un ambiente supportato utilizzando i flag, utilizza il seguente comando:

redis-cli --user USERNAME -a TOKEN -h IP_ADDRESS -p PORT

Effettua le seguenti sostituzioni:

• USERNAME: il nome utente dell'utente che tenta di connettersi al cluster
• TOKEN: il token di autenticazione dell'utente
• IP_ADDRESS: l'indirizzo IP del cluster
• PORT: il numero di porta riservato al cluster

Ruotare il token di autenticazione di un utente senza tempi di inattività

Per ruotare il token di autenticazione di un utente senza causare tempi di inattività alle tue applicazioni, segui questi passaggi:

1. Crea un token di autenticazione aggiuntivo per l'utente: Memorystore for Redis Cluster genera un secondo token valido. Entrambi i token sono validi.
2. Aggiorna le applicazioni: aggiorna le applicazioni per utilizzare il nuovo token.
3. Elimina il token di autenticazione per l'utente: Memorystore for Redis Cluster rimuove il primo token. L'utente può utilizzare solo il secondo token per l'autenticazione nelle tue applicazioni.

Log di accesso per l'autenticazione di base basata su token

Memorystore for Redis Cluster genera audit log per le Attività degli amministratori e l'Accesso ai dati per le operazioni associate a token di autenticazione e utenti. Per saperne di più su questi audit log, consulta Monitorare l'accesso utilizzando gli audit log.