שימוש ב-Secret Manager לטיפול בסודות ב-Cloud SQL

‫MySQL | PostgreSQL | SQL Server

סקירה כללית

ניהול נכון של מידע רגיש הוא חלק חיוני ביצירת תהליך עבודה מאובטח לפיתוח. ב-Cloud SQL, מומלץ לאחסן את חלקי המידע הרגיש כסודות שיוצרים ב-Secret Manager. הסודות כוללים מפתחות API, סיסמאות, מידע רגיש או פרטי כניסה שאולי משמשים לגישה למערכת סודית.

‫Secret Manager מספק נוחות ומשפר את האבטחה. אפשר גם להחיל ניהול גרסאות על הסודות ולשתף אותם עם הצוות. מידע נוסף על שיתוף סודות עם הצוות זמין במאמר בקרת גישה (IAM).

בדף הזה מתוארים ארבעה תרחישי שימוש ב-Secret Manager לניהול סודות ב-Cloud SQL:

אחסון של שמות משתמש וסיסמאות
חיבור למכונות של Cloud SQL
ניהול אישורי SSL/TLS
תיאום תרחישי התאוששות מאסון

לפני שמתחילים

לפני שמתחילים להשתמש ב-Secret Manager כדי לטפל בסודות ב-Cloud SQL:

מומלץ להכיר את Cloud SQL ואת Secret Manager.
כדי להתחיל להשתמש ב-Cloud SQL, כדאי ללמוד איך להתחבר למופע הראשון של Cloud SQL מהמחשב המקומי.

שמות משתמש וסיסמאות

שימוש ב-Secret Manager לאחסון שמות המשתמש והסיסמאות של חשבונות המשתמשים ב-Cloud SQL כסודות היא דרך בטוחה ומהימנה לניהול המידע הרגיש הזה.

קודם צריך ליצור משתמש ב-Cloud SQL. כחלק מיצירת המשתמש, צריך לספק שם משתמש וסיסמה. מידע נוסף על יצירת משתמש ב-Cloud SQL זמין במאמר ניהול משתמשים באמצעות אימות מובנה.

אחרי שיוצרים את המשתמש, יוצרים סוד ב-Secret Manager כדי לאחסן את שם המשתמש והסיסמה. כך אפשר לוודא שהמידע הרגיש הזה לא יאבד. למידע נוסף על יצירה וגישה לסודות ב-Secret Manager, ראו יצירה וגישה לסודות.

מכונות של Cloud SQL

כשמתחברים למופע Cloud SQL, אפשר להשתמש ב-Secret Manager כדי לנהל סודות וליצור תהליך עבודה מאובטח לפיתוח.

מתחילים בהתחברות למכונה של Cloud SQL מהמחשב המקומי. אחרי שהמופע פועל, משתמשים במשתני סביבה כדי להתחבר אליו. חלק מהערכים שמשויכים למשתנים רגישים יותר, כמו שם החיבור של המופע. לכל ערך, אפשר ליצור סוד ב-Secret Manager כדי לאחסן ולנהל את המידע הזה. מידע נוסף על שימוש במשתני סביבה כדי להתחבר למופע Cloud SQL זמין במאמר הגדרה והפעלה של אפליקציה לדוגמה.

אפשר לאחזר את שם החיבור של המופע שמאוחסן כסוד ישירות מ-Secret Manager. כך תוכלו ליהנות מתהליך עבודה גמיש שיעזור לצוות שלכם לשתף את המידע הרגיש הזה בין כמה אפליקציות ולנהל אותו ממיקום מרכזי. מידע נוסף על אחזור סודות מ-Secret Manager זמין במאמר יצירת סוד באמצעות Secret Manager.

כדי להפעיל אפליקציה, צריך להזין את המידע שמופיע בסודות. המידע הזה כולל את הערכים שמשויכים למשתני הסביבה שמשמשים להתחברות לאפליקציה. האפליקציה ניגשת לסודות כשהיא מופעלת, ואז משתמשת בהם כדי להגדיר חיבור ל-Cloud SQL. אם יש סודות רלוונטיים שמתעדכנים ב-Secret Manager, יכול להיות שתצטרכו להפעיל מחדש את האפליקציה.

אישורי SSL/TLS

אם מתחברים למכונת Cloud SQL באמצעות כתובת IP ציבורית או פרטית, צריך להשתמש באישור Transport Layer Security‏ (TLS) כדי לאבטח את הנתונים בזמן ההעברה. כל אישור TLS כולל אישור של מפתח ציבורי ומפתח פרטי. מידע נוסף על הגדרת אישורי TLS זמין במאמר בנושא הגדרת אישורי SSL/‏TLS.

כדי לשמור על הבטיחות של אישור ה-TLS, אישור של מפתח ציבורי והמפתח הפרטי ולשתף אותם עם הצוות, אפשר לשמור אותם כסודות. מידע נוסף על יצירה וגישה לסודות זמין במאמר יצירת סוד באמצעות Secret Manager. מידע נוסף על שיתוף סודות זמין במאמר בקרת גישה (IAM).

תרחישים של התאוששות מאסון (DR)

אם מופע ראשי ב-Cloud SQL נכשל, יכול להיות שתקדמו העתק לקריאה למופע הראשי. אחרי שהעותק לקריאה הופך למופע הראשי, צריך לעדכן את שם החיבור של המופע כדי לשקף את הקידום הזה. אם שם החיבור של המכונה מאוחסן בסוד, צריך לעדכן את הסוד בשם של המכונה הראשית החדשה. מידע נוסף מופיע במאמר בנושא עריכת סוד.

אחת הדרכים להשתמש ב-Secret Manager למעבר לגיבוי במקרה של כשל היא לאחסן את השם של המופע הראשי בסוד, ואז להגדיר את המחבר של Cloud SQL כך שיתעדכן בכל פעם שהסוד מתעדכן.

אפשר להשתמש בסקריפט הבא של bash wrapper עם שרת proxy ל-Cloud SQL Auth כדי לזהות מתי הערך של שם החיבור של המכונה מתעדכן, ואז להפעיל מחדש את ה-proxy עם הערך החדש:

#!/bin/bash

SECRET_ID="my-secret-id" # TODO(developer): replace this value
REFRESH_INTERVAL=5
PORT=5432                # TODO(developer): change this port as needed

# Get the latest version of the secret and start the proxy
INSTANCE=$(gcloud secrets versions access "latest" --secret="$SECRET_ID")
cloud_sql_proxy -instances="$INSTANCE"=tcp:"$PORT" &
PID=$!

# Every 5s, get the latest version of the secret. If it's changed, restart the
# proxy with the new value.
while true; do
    sleep $REFRESH_INTERVAL
    NEW=$(gcloud secrets versions access "latest" --secret="$SECRET_ID")
    if [ "$INSTANCE" != "$NEW" ]; then
        INSTANCE=$NEW
        kill $PID
        wait $PID
        cloud_sql_proxy -instances="$INSTANCE"=tcp:"$PORT" &
        PID=$!
    fi
done

מידע נוסף על יצירה וגישה לסוד שמכיל את שם החיבור של המופע של הרפליקה הראשית זמין במאמר בנושא יצירת סוד באמצעות Secret Manager. מידע נוסף על שימוש בשרת proxy ל-Cloud SQL Auth זמין במאמר חיבור ל-Cloud SQL באמצעות שרת proxy ל-Cloud SQL Auth.

המאמרים הבאים

אפשר לשלב את Secret Manager עם מוצרים אחרים של Google Cloud Google Cloud, כמו Cloud Run.
- מידע נוסף על אבטחת סודות בסביבות קונטיינרים זמין במאמר שימוש בסודות.
- רשימת מוצרים אחרים Google Cloud שמשולבים עם Secret Manager מופיעה במאמר שימוש ב-Secret Manager עם מוצרים אחרים.
כדי ללמוד איך לשלב את Secret Manager עם סביבת הפיתוח, אפשר לעיין בדוגמאות השונות שזמינות בדף כל דוגמאות הקוד של Secret Manager.

שימוש ב-Secret Manager לטיפול בסודות ב-Cloud SQL קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.