Instanzsicherheit durch Erzwingen der SSL- oder TLS-Verschlüsselung verbessern

Mit dem Recommender für den SSL-Modus in AlloyDB können Sie Instanzen erkennen, die kritisch sind und ein Risiko für Datenverlust haben.

Auf dieser Seite wird der AlloyDB-Recommender für den SSL-Modus beschrieben, wie er funktioniert und wie er verwendet wird.

Der AlloyDB-Recommender für die Erzwingung des SSL-Modus analysiert Instanzmetadaten. Wenn es sich bei der Instanz um eine Produktionsinstanz handelt und keine Verschlüsselungsanforderungen für direkte Verbindungen erzwungen werden, wird empfohlen, den SSL-Modus zu aktivieren.

Empfehlungen werden täglich generiert.

Hinweise

Bevor Sie Empfehlungen und Informationen aufrufen können, müssen Sie Folgendes tun:

Empfehlungen auflisten

Sie können die Empfehlungen zum Erzwingen des SSL-Modus mit der Google Cloud Console, gcloud CLI oder der Recommender API auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cluster auf.

    Zu den Clustern

    Weitere Informationen finden Sie unter Empfehlungen mit dem Recommendation Hub finden.

  2. Klicken Sie auf der Karte Sicherheit auf Erlaubt direkte unverschlüsselte Verbindungen.

    Eine Liste der Cluster mit Instanzen, für die die Empfehlung Erlaubt direkte unverschlüsselte Verbindungen gilt, wird angezeigt.

gcloud-CLI

Führen Sie den Befehl gcloud recommender recommendations list so aus, um Empfehlungen zur Erzwingung des SSL-Modus mithilfe der gcloud CLI aufzulisten:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.alloydb.instance.SecurityRecommender \
--filter=recommenderSubtype=REQUIRE_SSL

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

API

Wenn Sie Empfehlungen zum Erzwingen des SSL-Modus mithilfe der Recommendations API auflisten möchten, rufen Sie die Methode recommendations.list so auf:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.alloydb.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REQUIRE_SSL

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

Informationen und detaillierte Empfehlungen anzeigen

Mit der Google Cloud Console, gcloud CLI oder der Recommender API können Sie Informationen und detaillierte Empfehlungen zu Instanzen aufrufen, für die der SSL-Modus erzwungen werden muss.

So rufen Sie Statistiken und detaillierte Empfehlungen auf:

Console

Klicken Sie auf der Seite Cluster in der Spalte Probleme für eine Instanz auf die Empfehlung Erlaubt direkte unverschlüsselte Verbindungen. Der Bereich "Empfehlung" wird angezeigt. Dieser enthält Informationen und detaillierte Empfehlungen.

gcloud-CLI

Führen Sie den Befehl gcloud recommender insights list so aus:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.alloydb.instance.SecurityInsight \
--filter=insightSubtype=SSL_NOT_REQUIRED

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

API

Rufen Sie die Methode insights.list so auf:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.alloydb.instance.SecurityInsight/insights?filter=insightSubtype=SSL_NOT_REQUIRED

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

Empfehlung anwenden

Sehen Sie sich die Empfehlungen sorgfältig an und führen Sie einen der folgenden Schritte aus:

Console

Implementieren Sie den SSL/TLS-Modus auf Ihrer Instanz, um die Empfehlung zu implementieren.

gcloud-CLI

Implementieren Sie den SSL/TLS-Modus auf Ihrer Instanz, um die Empfehlung zu implementieren.

Nächste Schritte