Instanzsicherheit durch Erzwingen der SSL- oder TLS-Verschlüsselung verbessern

Mit dem Recommender zum Erzwingen des SSL-Modus in AlloyDB können Sie Instanzen erkennen, die kritisch sind und ein Risiko für Datenverlust haben.

Auf dieser Seite wird der AlloyDB-Recommender für die Erzwingung des SSL-Modus beschrieben. Außerdem wird erläutert, wie dieser Recommender funktioniert und wie er verwendet wird.

Der AlloyDB-Recommender für das Erzwingen des SSL-Modus analysiert Instanzmetadaten. Wenn die Instanz eine Produktionsinstanz ist und keine Verschlüsselungsanforderungen für direkte Verbindungen erzwingt, wird empfohlen, den SSL-Modus zu aktivieren.

Empfehlungen werden täglich generiert.

Hinweise

Bevor Sie Empfehlungen und Informationen aufrufen können, müssen Sie Folgendes tun:

Empfehlungen auflisten

Sie können die Empfehlungen zum Erzwingen des SSL-Modus über die Google Cloud Console, gcloud CLI oder die Recommender API auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cluster auf.

    Zu den Clustern

    Weitere Informationen finden Sie unter Empfehlungen mit dem Recommendation Hub finden.

  2. Klicken Sie auf der Karte Sicherheit auf Erlaubt direkte unverschlüsselte Verbindungen.

    Eine Liste der Cluster mit Instanzen, für die die Empfehlung Erlaubt direkte unverschlüsselte Verbindungen gilt, wird angezeigt.

gcloud-CLI

Führen Sie den Befehl gcloud recommender recommendations list so aus, um Empfehlungen zum Erzwingen des SSL-Modus mithilfe der gcloud CLI aufzulisten:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.alloydb.instance.SecurityRecommender \
--filter=recommenderSubtype=REQUIRE_SSL

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

API

Rufen Sie zum Auflisten von Empfehlungen zum Erzwingen des SSL-Modus mithilfe der Recommendations API die Methode recommendations.list so auf:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.alloydb.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=REQUIRE_SSL

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

Informationen und detaillierte Empfehlungen anzeigen

Mit der Google Cloud Console, gcloud CLI oder der Recommender API können Sie Informationen und detaillierte Empfehlungen zu Instanzen aufrufen, für die der SSL-Modus erzwungen werden muss.

So rufen Sie Statistiken und detaillierte Empfehlungen auf:

Console

Klicken Sie auf der Seite Cluster in der Spalte Probleme auf die Empfehlung Erlaubt direkte unverschlüsselte Verbindungen für eine Instanz. Der Bereich "Empfehlung" wird angezeigt. Dieser enthält Informationen und detaillierte Empfehlungen.

gcloud-CLI

Führen Sie den Befehl gcloud recommender insights list so aus:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.alloydb.instance.SecurityInsight \
--filter=insightSubtype=SSL_NOT_REQUIRED

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

API

Rufen Sie die Methode insights.list so auf:

GET https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.alloydb.instance.SecurityInsight/insights?filter=insightSubtype=SSL_NOT_REQUIRED

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

Empfehlung anwenden

Sehen Sie sich die Empfehlungen sorgfältig an und führen Sie einen der folgenden Schritte aus:

Console

Erzwingen Sie den SSL/TLS-Modus auf Ihrer Instanz, um die Empfehlung zu implementieren.

gcloud-CLI

Erzwingen Sie den SSL/TLS-Modus auf Ihrer Instanz, um die Empfehlung zu implementieren.

Nächste Schritte