Überblick über die Sicherheit

Auf dieser Seite wird die Sicherheit beschrieben, die für Ihren Cluster in Memorystore for Redis-Clustern bereitgestellt wird.

Ein Cluster ist nicht öffentlich zugänglich. Der Zugriff auf den Cluster ist nur auf die Clients beschränkt, die auf den für den Cluster konfigurierten Private Service Connect -Endpunkt zugreifen können. Eine Anleitung zum Einrichten der Verbindung finden Sie unter Netzwerkeinrichtung.

Die Verwaltung von Clustern wird durch die rollenbasierte Zugriffssteuerung von Identity and Access Management (IAM) gesichert. Weitere Informationen finden Sie unter Zugriffssteuerung mit IAM.

Verschlüsselung

Alle Netzwerkdaten zu und von Memorystore for Redis-Clustern werden bei der Übertragung auf Netzwerkebene gemäß dem Standardschutz von Google Cloud für den gesamten VM-zu-VM-Traffic verschlüsselt.

Memorystore for Redis-Cluster verschlüsselt keine Daten im Arbeitsspeicher. Außerdem unterstützt Memorystore for Redis-Cluster die replikationslose Replikation. Sofern Sie die Persistenz nicht aktivieren, verwendet Memorystore for Redis-Cluster während der Replikation keine Festplatten.

Wenn Sie die Persistenz aktivieren, verschlüsselt Memorystore for Redis-Cluster Ihre Daten standardmäßig. Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud Key Management Service (Cloud KMS) mit CMEK-integrierten Diensten wie Memorystore for Redis-Cluster verwenden.

Best Practices für Sicherheit

Wir empfehlen, auf Ihren Cluster in Memorystore for Redis-Clustern mit vertrauenswürdigen Clients in vertrauenswürdigen Umgebungen zuzugreifen. Setzen Sie den Cluster nicht direkt dem Internet oder allgemein einer Umgebung aus, in der nicht vertrauenswürdige Clients direkt auf den TCP-Port oder UNIX-Socket des Clusters zugreifen können.

Wenn beispielsweise eine Webanwendung einen Cluster als Datenbank, Cache oder Nachrichtensystem verwendet, fragen die Clients im Frontend (der Webseite) der Anwendung den Cluster ab, um Seiten zu generieren oder Vorgänge auszuführen, die der Nutzer anfordert. In diesem Fall vermittelt die Webanwendung den Zugriff zwischen dem Cluster und den nicht vertrauenswürdigen Clients. Diese Clients sind die Browser der Nutzer, die auf die Webanwendung zugreifen.

Wir empfehlen, den nicht vertrauenswürdigen Zugriff auf den Cluster über eine Ebene zu vermitteln, die Folgendes ausführt:

  • Zugriffssteuerungslisten (Access Control Lists, ACLs) implementieren
  • Nutzereingaben validieren
  • Entscheiden, welche Vorgänge für den Cluster ausgeführt werden sollen

Weitere Informationen zur Sicherheit aus Sicht von Redis finden Sie unter Redis-Sicherheit.