בדף הזה מתואר האבטחה שמסופקת למופע Memorystore for Valkey.
אי אפשר לגשת למופע של Memorystore for Valkey באופן ציבורי. הגישה למכונה מוגבלת רק ללקוחות שיש להם גישה לנקודת הקצה (endpoint) של Private Service Connect שהוגדרה למכונה. הוראות להגדרת קישוריות זמינות במאמר הנחיות להגדרת רשת.
הניהול של מופעי Memorystore for Valkey מאובטח באמצעות בקרת גישה מבוססת-תפקידים (RBAC) של ניהול זהויות והרשאות גישה (IAM). למידע נוסף על בקרת גישה
הצפנה
כל נתוני הרשת שמועברים אל ומ-Memorystore for Valkey מוצפנים בזמן ההעברה ברמת הרשת, בהתאם להגנה שמוגדרת כברירת מחדל ב-Google Cloud לכל תעבורת נתונים בין מכונות וירטואליות.
Memorystore for Valkey לא מצפין נתונים בזיכרון. בנוסף, Memorystore for Valkey תומך בשכפול ללא דיסק. אלא אם מפעילים התמדה, Memorystore for Valkey לא משתמש בדיסקים במהלך השכפול.
אם מפעילים את התכונה 'עמידות נתונים', הנתונים ב-Memorystore for Valkey מוצפנים כברירת מחדל. עם זאת, אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud Key Management Service (Cloud KMS) עם שירותים שמשולבים עם CMEK, כולל Memorystore for Valkey.
שיטות מומלצות לאבטחה
מומלץ לגשת למופע של Memorystore for Valkey באמצעות לקוחות מהימנים בתוך סביבות מהימנות. אל תחשפו את המופע לאינטרנט ישירות, או באופן כללי לסביבה שבה לקוחות לא מהימנים יכולים לגשת ישירות ליציאת ה-TCP או לשקע UNIX של המופע.
לדוגמה, אם אפליקציית אינטרנט משתמשת במכונה כבסיס נתונים, כמטמון או כמערכת העברת הודעות, הלקוחות בחלק הקצה הקדמי (הצד של האינטרנט) של האפליקציה שולחים שאילתות למכונה כדי ליצור דפים או לבצע פעולות שהמשתמש מבקש. במקרה כזה, אפליקציית האינטרנט מתווכת את הגישה בין המכונה לבין הלקוחות הלא מהימנים. הלקוחות האלה הם דפדפני המשתמשים שניגשים לאפליקציית האינטרנט.
מומלץ להשתמש בשכבה שתתווך את הגישה למופע כדי למנוע גישה לא מהימנה. השכבה צריכה:
- הטמעה של רשימות של בקרת גישה (ACL)
- אימות של קלט משתמשים
- קובע אילו פעולות לבצע ביחס למופע
מידע נוסף על אבטחה מנקודת המבט של Valkey זמין במאמר בנושא אבטחה ב-Valkey.