Migliora la sicurezza delle istanze ruotando i certificati server

In questa pagina viene descritto come visualizzare e implementare i suggerimenti relativi alla rotazione del server per le istanze i cui certificati server stanno per scadere entro 30 giorni. Se il certificato del server di un'istanza sta per scadere entro 30 giorni, i client utilizzando questo certificato non sarà in grado di connettersi in modo sicuro all'istanza, il che le rende vulnerabili alle violazioni della sicurezza. Questo strumento per suggerimenti si chiama Ruota il certificato del server.

Ogni giorno, questo recommender controlla le istanze per verificare la presenza di certificati in scadenza e fornisce approfondimenti e consigli per migliorare la sicurezza delle istanze. Puoi visualizzare approfondimenti e consigli dettagliati su queste istanze utilizzando la console Google Cloud, gcloud CLI o l'API Recommender.

Prima di iniziare

Assicurati di abilitare l'API Recommender.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni per visualizzare e utilizzare approfondimenti e consigli, assicurati di disporre dei ruoli IAM (Identity and Access Management) necessari.

Tasks Ruoli
Visualizza i suggerimenti recommender.cloudsqlViewer o cloudsql.admin.
Applica consigli cloudsql.editor o cloudsql.admin.
Per ulteriori informazioni sui ruoli IAM, consulta Riferimento per i ruoli IAM di base e predefiniti e Gestire l'accesso a progetti, cartelle e organizzazioni.

Elenca i consigli

Per elencare i consigli:

Console

  1. Vai all'hub dei suggerimenti.

    Vai all'hub dei suggerimenti

    Per saperne di più, consulta Esplorare i consigli.

  2. Nella scheda Istanze Cloud SQL sicure, fai clic su Visualizza tutto. Viene visualizzata la pagina Consigli per la sicurezza. Elenca i consigli insieme alle istanze a cui si applicano.

gcloud

Esegui il comando gcloud recommender recommendations list come segue:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ROTATE_SERVER_CERT

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION: una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo recommendations.list come segue:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ROTATE_SERVER_CERT

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

Visualizza approfondimenti e consigli dettagliati

Per visualizzare approfondimenti e consigli dettagliati:

Console

Nella pagina Consigli per la sicurezza, fai clic sul consiglio per un'istanza. Viene visualizzato il riquadro dei consigli, che contiene approfondimenti e consigli dettagliati.

gcloud

Esegui il comando gcloud recommender insights list come segue:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=SERVER_CERT_EXPIRING

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo progetto.
  • LOCATION : una regione in cui si trovano le istanze, ad esempio us-central1.

API

Chiama il metodo insights.list come segue:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=SERVER_CERT_EXPIRING

Sostituisci quanto segue:

  • PROJECT_ID: l'ID progetto.
  • LOCATION: una regione in cui si trovano le tue istanze, ad esempio us-central1.

Applica il consiglio

Console

Per implementare il consiglio, fai clic su Gestisci certificati server e ruota i certificati server nella tua istanza.

gcloud

Per implementare il consiglio, ruota i certificati del server nella tua istanza.

API

Per implementare il suggerimento, ruota i certificati del server sulla tua istanza.

Passaggi successivi