Nesta página, descrevemos a segurança fornecida para seu cluster no Memorystore para Redis Cluster.
Um cluster não está acessível ao público. O acesso ao cluster é limitado apenas aos clientes que podem acessar o endpoint do Private Service Connect configurado para o cluster. Para instruções sobre como configurar a conectividade, consulte Orientações para configuração de rede.
O gerenciamento de clusters é protegido usando o controle de acesso baseado em papéis do Identity and Access Management (IAM). Para mais informações, consulte Controle de acesso com o IAM.
Criptografia
Todos os dados de rede de e para o Memorystore for Redis Cluster são criptografados em trânsito no nível da rede de acordo com a proteção padrão do Google Cloud para qualquer tráfego de VM para VM.
O Memorystore para Redis Cluster não criptografa dados na memória. Além disso, o Memorystore para Redis Cluster é compatível com a replicação sem disco. A menos que você ative a persistência, o Memorystore para Redis Cluster não usa discos durante a replicação.
Ao ativar a persistência, o Memorystore for Redis Cluster criptografa seus dados por padrão. No entanto, se você quiser controlar suas chaves de criptografia, use as chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud Key Management Service (Cloud KMS) com serviços integrados a CMEKs, incluindo o Memorystore para Redis Cluster.
Práticas recomendadas de segurança
Recomendamos que você acesse o cluster no Memorystore para Redis Cluster usando clientes confiáveis em ambientes confiáveis. Não exponha o cluster diretamente à Internet ou, em geral, a um ambiente em que clientes não confiáveis possam acessar diretamente a porta TCP ou o soquete UNIX do cluster.
Por exemplo, se um aplicativo da Web usa um cluster como banco de dados, cache ou sistema de mensagens, os clientes no front-end (lado da Web) do aplicativo consultam o cluster para gerar páginas ou realizar operações solicitadas pelo usuário. Nesse caso, o aplicativo da Web medeia o acesso entre o cluster e os clientes não confiáveis. Esses clientes são os navegadores do usuário que acessam o aplicativo da Web.
Recomendamos que você faça a mediação do acesso não confiável ao cluster usando uma camada que faça o seguinte:
- Implementa listas de controle de acesso (ACLs)
- Valida as entradas do usuário.
- Decide quais operações realizar no cluster.
Para mais informações sobre segurança do ponto de vista do Redis, consulte Segurança do Redis.