Instanzsicherheit durch Rotation von Serverzertifikaten verbessern

Auf dieser Seite wird beschrieben, wie Sie Empfehlungen zum Rotieren von Serverzertifikaten für Instanzen abrufen und implementieren, die nach 30 Tagen ablaufen. Wenn das Serverzertifikat einer Instanz innerhalb von 30 Tagen abläuft, können die Clients, die dieses Zertifikat verwenden, keine sichere Verbindung zur Instanz herstellen. Dadurch sind sie anfällig für Sicherheitsverstöße. Dieser Recommender heißt Serverzertifikat rotieren.

Dieser Recommender prüft täglich Instanzen auf ablaufende Zertifikate und bietet Statistiken und Empfehlungen zur Verbesserung der Instanzsicherheit. Mit der Google Cloud Console, der gcloud CLI oder der Recommender API können Sie Informationen und detaillierte Empfehlungen zu diesen Instanzen aufrufen.

Hinweise

Aktivieren Sie die Recommender API.

Erforderliche Rollen und Berechtigungen

Prüfen Sie, ob Sie die erforderlichen IAM-Rollen (Identity and Access Management) haben, um die Berechtigungen zum Aufrufen und Verwenden von Informationen und Empfehlungen zu erhalten.

Aufgaben Rollen
Empfehlungen aufrufen recommender.cloudsqlViewer oder cloudsql.admin.
Empfehlungen übernehmen cloudsql.editor oder cloudsql.admin.
Weitere Informationen zu IAM-Rollen finden Sie in der Referenz zu einfachen und vordefinierten IAM-Rollen und unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Empfehlungen auflisten

So listen Sie die Empfehlungen auf:

Console

  1. Rufen Sie den Recommendation Hub auf.

    Zum Recommendation Hub

    Weitere Informationen finden Sie unter Empfehlungen entdecken.

  2. Klicken Sie auf der Karte Cloud SQL-Instanzen sichern auf Alle ansehen. Die Seite Sicherheitsempfehlungen wird angezeigt. Es werden die Empfehlungen aufgelistet sowie die Instanzen, für die diese Empfehlungen gelten.

gcloud

Führen Sie den Befehl gcloud recommender recommendations list so aus:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ROTATE_SERVER_CERT

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich die Instanzen befinden, z. B. us-central1

API

Rufen Sie die Methode recommendations.list so auf:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ROTATE_SERVER_CERT

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

Informationen und detaillierte Empfehlungen anzeigen

So rufen Sie Statistiken und detaillierte Empfehlungen auf:

Console

Klicken Sie auf der Seite Sicherheitsempfehlungen auf die Empfehlung für eine Instanz. Der Bereich "Empfehlung" wird angezeigt. Dieser enthält Informationen und detaillierte Empfehlungen.

gcloud

Führen Sie den Befehl gcloud recommender insights list so aus:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=SERVER_CERT_EXPIRING

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

API

Rufen Sie die Methode insights.list so auf:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=SERVER_CERT_EXPIRING

Ersetzen Sie Folgendes:

  • PROJECT_ID: Ihre Projekt-ID.
  • LOCATION: Eine Region, in der sich Ihre Instanzen befinden, z. B. us-central1.

Empfehlung anwenden

Console

Klicken Sie zum Implementieren der Empfehlung auf Serverzertifikate verwalten und rotieren Sie Serverzertifikate für Ihre Instanz.

gcloud

Um die Empfehlung zu implementieren, rotieren Sie Serverzertifikate auf Ihrer Instanz.

API

Um die Empfehlung zu implementieren, rotieren Sie Serverzertifikate auf Ihrer Instanz.

Nächste Schritte