Gemini in Databases は、一般的な構成の問題を事前に検出し、推奨される修正を提供することで、データベースのセキュリティ ポスチャー、データ保護、パフォーマンスの管理を支援します。これらの推奨事項は、ネットワーク セキュリティ、アクセス管理、データ保護、監査機能を強化することで、データベースを保護するのに役立ちます。
Gemini in Databases では、次の Google Cloud データベース プロダクトの推奨事項がサポートされています。
Gemini in Databases では、1 日に 1 回推奨事項が更新されます。
データベース セキュリティに関する推奨事項
Gemini in Databases では、次のセキュリティに関する推奨事項がサポートされています。
- 広範な公開アクセスを削除します。パブリック IP が有効で、承認済みネットワーク内で IP アドレス範囲が
0.0.0.0/0
のインスタンスを検出するのに役立ちます。承認済みネットワーク内の、0.0.0.0/0
を持つインスタンスは、すべてのインターネット IP アドレスからの接続を受け入れます。詳細については、「承認済みネットワークから幅広いパブリック IP 範囲を削除してインスタンスのセキュリティを向上させる」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL、 Cloud SQL for SQL Server)をご覧ください。 - すべての接続で SSL を必須にする。直接接続に SSL/TLS を必須にしないことで、暗号化されていない接続を許可するインスタンスを検出します。 暗号化を行うと、安全にデータを転送できます 詳細については、「SSL/TLS 暗号化を適用してインスタンスのセキュリティを向上させる」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL、 Cloud SQL for SQL Server、 AlloyDB for PostgreSQL)をご覧ください。
- サーバー証明書のローテーション。30 日以内に期限切れになるサーバー証明書を持つインスタンスを検出します。インスタンスのサーバー証明書の有効期限が近づくと、この証明書を使用しているクライアントはインスタンスに安全に接続できなくなります。詳細については、「サーバー証明書をローテーションしてインスタンスのセキュリティを向上させる」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL、 Cloud SQL for SQL Server)をご覧ください。
- データベース監査を有効にする。ユーザー接続とステートメントの両方を記録していないインスタンスを検出します。データベース監査を使用するとデータベース内での特定のユーザー アクションをモニタリングできるため、セキュリティとコンプライアンスの維持に効果的です。詳細については、「データベース監査を有効にしてインスタンスのセキュリティを向上させる」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL、 Cloud SQL for SQL Server、 AlloyDB for PostgreSQL)をご覧ください。
- 承認済みネットワークを削除する。管理者が適用する組織のポリシー
constraints/sql.restrictAuthorizedNetworks
に違反するインスタンスを検出します。セキュリティ攻撃の対象領域を減らすために、このポリシーにより、直接データベース アクセス用の承認済みネットワークの追加を制限します。このポリシー違反は、ポリシー制約が適用されているときに、インスタンスに承認済みネットワークがすでに存在する場合に発生します。詳細については、「承認済みネットワークを削除してインスタンスのセキュリティを向上させる」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL、 Cloud SQL for SQL Server)をご覧ください。 - パブリック IP を無効にする。組織のポリシー
constraints/sql.restrictPublicIp
に違反するインスタンスを検出します。セキュリティ攻撃の可能性を減らすために、このポリシーにより、インスタンスに対するパブリック IP の構成を制限します。このポリシー違反は、制約が適用されたときに、インスタンスにパブリック IP アクセスがすでに存在している場合に発生します。詳細については、「パブリック IP を無効にしてインスタンスのセキュリティを向上させる」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL、 Cloud SQL for SQL Server)をご覧ください。 - インスタンスのパスワード ポリシーを有効にする。インスタンスのパスワード ポリシーが有効になっていないインスタンスを検出します。パスワード ポリシーを有効にすると、脆弱なパスワードの作成を防止でき、コンプライアンスに役立ちます。詳細については、「パスワード ポリシーを設定してインスタンスのセキュリティを向上させる」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL)をご覧ください。
データ保護とパフォーマンスに関する推奨事項
Gemini in Databases では、次のデータ保護とパフォーマンスに関する推奨事項がサポートされています。
- 自動バックアップを有効にする。自動バックアップが有効になっていないインスタンスを検出します。自動バックアップを有効にすると、重要なインスタンスを保護し、データ損失を防ぐことができます。詳細については、「自動バックアップを有効にしてインスタンスのデータ損失を防止する」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL、 Cloud SQL for SQL Server)をご覧ください。
- 複数のメモリ不足(OOM)イベントに合わせてインスタンスを最適化する。過去 7 日以内で OOM イベント数が多いインスタンスを検出します。そのようなインスタンスを最適化してパフォーマンスを改善する方法に関する推奨事項が提示されます。詳細については、「メモリ不足イベント数が多い Cloud SQL for MySQL インスタンスを最適化する」 (Cloud SQL for MySQL)をご覧ください。
- バックアップの保持期間を延長してデータ損失を防止します。バックアップが長期間保持されないため、重大かつデータ損失のリスクがあるインスタンスを検出します。インスタンスが本番環境インスタンスであり、自動バックアップが有効で、保持されるバックアップが 21 個未満の場合は、バックアップの保持を増やすことをおすすめします。詳細については、「バックアップの保持期間を増やしてインスタンスのデータ損失を防止する」 (Cloud SQL for MySQL、 Cloud SQL for PostgreSQL、 Cloud SQL for SQL Server)をご覧ください。
- メモリ使用量が多いクエリを最適化します。過去 24 時間の OOM エラーを防ぐために、クエリが終了した Cloud SQL for PostgreSQL インスタンスを検出します。そのようなインスタンスを最適化してパフォーマンスを改善する方法に関する推奨事項が提示されます。詳細については、「メモリ使用量が高いクエリを最適化する」 (Cloud SQL for PostgreSQL)をご覧ください。
- クラスタ ストレージの割り当ての引き上げ。ストレージ割り当てに達する可能性がある AlloyDB for PostgreSQL 本番環境クラスタを検出します。特定のストレージ関連の指標を分析し、クラスタごとの最新のストレージ割り当ての使用率を計算します。使用率が特定のしきい値を超えると、クラスタはストレージ割り当てを増やすための推奨事項を受け取ります。詳細については、「クラスタ ストレージの割り当てを増やす」 (AlloyDB for PostgreSQL)をご覧ください。
- アンダープロビジョニング状態の AlloyDB クラスタを最適化する。CPU とメモリの使用率が高いクラスタを検出します。これは、クラスタを最適化する方法に関する推奨事項を提供します。詳細については、「アンダープロビジョニング状態の AlloyDB for PostgreSQL クラスタを最適化する」(AlloyDB for PostgreSQL)をご覧ください。
- トランザクション ID のラップアラウンドを防ぐ潜在的なトランザクション ID のラップアラウンドがある Cloud SQL for PostgreSQL インスタンスを検出します。トランザクション ID の使用率が 80% 以上であれば、トランザクション ID ラップアラウンドを回避するための措置を取ることが推奨されます。詳細については、「トランザクション ID のラップアラウンドを防ぐ」 (Cloud SQL for PostgreSQL)をご覧ください。
- Cloud SQL Enterprise Plus エディションにアップグレードします。Enterprise エディションから Enterprise Plus エディションにアップグレードできるインスタンスを検出します。 Enterprise Plus エディションでは、ほぼゼロのダウンタイムと、読み取りパフォーマンスを向上させるデータ キャッシュが可能になります。詳細については、「Cloud SQL Enterprise Plus エディションでパフォーマンスを向上させる」(Cloud SQL for MySQL、 Cloud SQL for PostgreSQL)をご覧ください。