בדף הזה מתוארים אמצעי האבטחה שמוצעים למכונת Memorystore for Redis.
מכונת Memorystore for Redis לא נגישה לכולם. הגישה למופע מוגבלת רק ללקוחות שיכולים ליצור חיבור לגישה לשירותים פרטיים. הוראות להגדרת הקישוריות מופיעות במאמר רשתות.
הניהול של מכונות Memorystore for Redis מאובטח באמצעות בקרת גישה מבוססת-תפקידים (RBAC) של ניהול זהויות והרשאות גישה (IAM). למידע נוסף ראו את המאמר בקרת גישה באמצעות IAM.
הצפנה
כל נתוני הרשת אל Memorystore for Redis וממנו מוצפנים בזמן ההעברה ברמת הרשת, בהתאם להגנה שמוגדרת כברירת מחדל ב-Google Cloud לכל תעבורת נתונים בין מכונות וירטואליות.
ב-Memorystore for Redis הנתונים לא מוצפנים בזיכרון ולא נעשה שימוש בדיסקים במהלך השכפול.
שיטות מומלצות לאבטחה
מומלץ לגשת למכונת Memorystore for Redis באמצעות לקוחות מהימנים בתוך סביבות מהימנות. לא לחשוף את המופע לאינטרנט ישירות, או באופן כללי, לסביבה שבה לקוחות לא מהימנים יכולים לגשת ישירות ליציאת ה-TCP או לשקע ה-UNIX של המופע.
לדוגמה, אם אפליקציית אינטרנט משתמשת במכונה כבסיס נתונים, כמטמון או כמערכת העברת הודעות, הלקוחות בחלק הקצה הקדמי (הצד של האינטרנט) של האפליקציה שולחים שאילתות למכונה כדי ליצור דפים או לבצע פעולות שהמשתמש מבקש. במקרה כזה, אפליקציית האינטרנט מתווכת את הגישה בין המכונה לבין הלקוחות הלא מהימנים. הלקוחות האלה הם דפדפני המשתמשים שניגשים לאפליקציית האינטרנט.
מומלץ להשתמש בשכבה שתתווך את הגישה למופע כדי למנוע גישה לא מהימנה. השכבה צריכה:
- הטמעה של רשימות של בקרת גישה (ACL)
- אימות של קלט משתמשים
- קובע אילו פעולות לבצע ביחס למופע
מידע נוסף על אבטחה מנקודת המבט של Redis זמין במאמר בנושא אבטחה ב-Redis.