בדף הזה מוסבר על האבטחה שמסופקת לאשכול ב-Memorystore for Redis Cluster.
אי אפשר לגשת לאשכול באופן ציבורי. הגישה לאשכול מוגבלת רק ללקוחות שיש להם גישה לנקודת הקצה (endpoint) של Private Service Connect שהוגדרה לאשכול. הוראות להגדרת קישוריות זמינות במאמר הנחיות להגדרת רשת.
הניהול של אשכולות מאובטח באמצעות בקרת גישה מבוססת-תפקידים של ניהול זהויות והרשאות גישה (IAM). מידע נוסף מופיע במאמר בקרת גישה באמצעות IAM.
הצפנה
כל נתוני הרשת אל Memorystore for Redis Cluster וממנו מוצפנים במעבר ברמת הרשת בהתאם להגנה שמוגדרת כברירת מחדל ב-Google Cloud לכל תעבורה בין מכונות וירטואליות.
ב-Memorystore for Redis Cluster, הנתונים לא מוצפנים בזיכרון. בנוסף, Memorystore for Redis Cluster תומך בשכפול ללא דיסק. אלא אם מפעילים עמידות, Memorystore for Redis Cluster לא משתמש בדיסקים במהלך השכפול.
אם מפעילים את התכונה 'שמירת נתונים', הנתונים ב-Memorystore for Redis Cluster מוצפנים כברירת מחדל. עם זאת, אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud Key Management Service (Cloud KMS) עם שירותים שמשולבים עם CMEK, כולל Memorystore for Redis Cluster.
שיטות מומלצות לאבטחה
מומלץ לגשת לאשכול ב-Memorystore for Redis Cluster באמצעות לקוחות מהימנים בתוך סביבות מהימנות. אל תחשפו את האשכול לאינטרנט באופן ישיר, או באופן כללי לסביבה שבה לקוחות לא מהימנים יכולים לגשת ישירות ליציאת ה-TCP או לשקע UNIX של האשכול.
לדוגמה, אם אפליקציית אינטרנט משתמשת באשכול כמסד נתונים, כמטמון או כמערכת העברת הודעות, הלקוחות בחלק הקצה הקדמי של האפליקציה (הצד של האינטרנט) שולחים לאשכול שאילתות כדי ליצור דפים או לבצע פעולות שהמשתמש מבקש. במקרה כזה, אפליקציית האינטרנט מתווכת את הגישה בין האשכול לבין הלקוחות הלא מהימנים. הלקוחות האלה הם דפדפני המשתמשים שניגשים לאפליקציית האינטרנט.
מומלץ להשתמש בשכבה שתתווך את הגישה הלא מהימנה לאשכול, ותבצע את הפעולות הבאות:
- הטמעה של רשימות של בקרת גישה (ACL)
- אימות של קלט משתמשים
- קובע אילו פעולות לבצע באשכול
מידע נוסף על אבטחה מנקודת המבט של Redis זמין במאמר בנושא אבטחה ב-Redis.