このページでは、Memorystore for Redis Cluster のクラスタに提供されるセキュリティについて説明します。
クラスタは一般公開されていません。クラスタへのアクセスは、クラスタ用に構成された Private Service Connect エンドポイントにアクセスできるクライアントにのみ制限されます。接続の設定手順については、ネットワーク設定のガイダンスをご覧ください。
クラスタの管理は、Identity and Access Management(IAM)のロールベースのアクセス制御を使用して保護されます。詳細については、IAM によるアクセス制御をご覧ください。
暗号化
Memorystore for Redis Cluster との間のすべてのネットワーク データは、VM 間トラフィックに対する Google Cloud のデフォルトの保護設定に従って、ネットワーク レベルで転送中に暗号化されます。
Memorystore for Redis Cluster は、メモリ内のデータを暗号化しません。また、Memorystore for Redis Cluster はディスクレス レプリケーションをサポートしています。永続性を有効にしない限り、Memorystore for Redis Cluster はレプリケーション中にディスクを使用しません。
セキュリティに関するベスト プラクティス
信頼できる環境内の信頼できるクライアントを使用して、Memorystore for Redis Cluster のクラスタにアクセスすることをおすすめします。クラスタをインターネットに直接公開したり、一般に、信頼できないクライアントがクラスタの TCP ポートまたは UNIX ソケットに直接アクセスできる環境に公開したりしないでください。
たとえば、ウェブ アプリケーションがクラスタをデータベース、キャッシュ、メッセージング システムとして使用している場合、アプリケーションのフロントエンド(ウェブ側)内のクライアントは、クラスタにクエリを実行してページを生成したり、ユーザーがリクエストしたオペレーションを実行したりします。この場合、ウェブ アプリケーションはクラスタと信頼できないクライアント間のアクセスを仲介します。これらのクライアントは、ウェブ アプリケーションにアクセスするユーザーのブラウザです。
次の処理を行うレイヤを使用して、クラスタへの信頼できないアクセスを仲介することをおすすめします。
- アクセス制御リスト(ACL)を実装する
- ユーザー入力を検証する
- クラスタに対して実行するオペレーションを決定する
Redis の観点からのセキュリティの詳細については、Redis のセキュリティをご覧ください。