Aumentar a segurança da instância alternando os certificados do servidor

Nesta página, descrevemos como visualizar e implementar recomendações sobre como alternar certificados de servidor para instâncias com certificados de servidor prestes a expirar em 30 dias. Se o certificado do servidor de uma instância estiver prestes a expirar em 30 dias, os clientes que usam esse certificado não poderão se conectar com segurança à instância, o que os torna vulneráveis a violações de segurança. Esse recommender é chamado de Alternar certificado do servidor.

Todos os dias, esse recomendador verifica as instâncias em busca de certificados expirados e fornece insights e recomendações para melhorar a segurança da instância. Acesse insights e recomendações detalhadas sobre essas instâncias usando o console do Google Cloud, a gcloud CLI ou a API Recommender.

Antes de começar

Ative a API Recommender.

Papéis e permissões necessárias

Para ter as permissões de visualizar e trabalhar com insights e recomendações, verifique se você tem os papéis do Identity and Access Management (IAM) necessários.

Tarefas Papéis
Ver recomendações recommender.cloudsqlViewer ou cloudsql.admin.
Aplicar recomendações cloudsql.editor ou cloudsql.admin.
Para mais informações sobre os papéis do IAM, consulte a Referência de papéis básicos e predefinidos do IAM e Gerenciar acesso a projetos, pastas e organizações.

Listar as recomendações

Para listar as recomendações, siga estas etapas:

Console

  1. Acesse o Hub de recomendações.

    Acesse o Hub de recomendações

    Para mais informações, consulte Como explorar as recomendações.

  2. No card Instâncias seguras do Cloud SQL, clique em Ver tudo. A página Recomendações de segurança será exibida. Ela lista as recomendações e as instâncias a que essas recomendações se aplicam.

gcloud

Execute o comando gcloud recommender recommendations list da seguinte maneira:

gcloud recommender recommendations list \
--project=PROJECT_ID \
--location=LOCATION \
--recommender=google.cloudsql.instance.SecurityRecommender \
--filter=recommenderSubtype=ROTATE_SERVER_CERT

Substitua:

  • PROJECT_ID: o ID do projeto.
  • LOCATION: uma região onde as instâncias estão localizadas, como us-central1.

API

Chame o método recommendations.list da seguinte maneira:

GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.cloudsql.instance.SecurityRecommender/recommendations?filter=recommenderSubtype=ROTATE_SERVER_CERT

Substitua:

  • PROJECT_ID: o ID do projeto.
  • LOCATION: uma região em que suas instâncias estão localizadas, como us-central1.

Ver insights e recomendações detalhadas

Para ver insights e recomendações detalhadas, siga estas etapas:

Console

Na página Recomendações de segurança, clique na recomendação de uma instância. O painel de recomendações é exibido com insights e recomendações detalhadas.

gcloud

Execute o comando gcloud recommender insights list da seguinte maneira:


gcloud recommender insights list \
--project=PROJECT_ID \
--location=LOCATION \
--insight-type=google.cloudsql.instance.SecurityInsight \
--filter=insightSubtype=SERVER_CERT_EXPIRING

Substitua:

  • PROJECT_ID: o ID do projeto.
  • LOCATION: uma região em que suas instâncias estão localizadas, como us-central1.

API

Chame o método insights.list da seguinte maneira:


GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.cloudsql.instance.SecurityInsight/insights?filter=insightSubtype=SERVER_CERT_EXPIRING

Substitua:

  • PROJECT_ID: o ID do projeto.
  • LOCATION: uma região em que suas instâncias estão localizadas, como us-central1.

Aplicar a recomendação

Console

Para implementar a recomendação, clique em Gerenciar certificados do servidor e alterne os certificados do servidor na instância.

gcloud

Para implementar a recomendação, alterne os certificados do servidor na instância.

API

Para implementar a recomendação, alterne os certificados do servidor na instância.

A seguir