Bậc miễn phí của Cloud Run / Secret Manager

Tôi đang sử dụng Cloud Run cho phần phụ trợ của dự án mà tôi đang thực hiện, một phần là do bậc miễn phí hào phóng của nó (2 triệu yêu cầu mỗi tháng, miễn phí). Tuy nhiên, các dịch vụ yêu cầu một số giá trị bí mật (mật khẩu cơ sở dữ liệu, khóa bí mật Oauth, v.v.), vì vậy tôi đã làm theo đề xuất của Google để lưu trữ các giá trị này trong Google Secret Manager và tải chúng dưới dạng biến môi trường thông qua Cloud Run.

Tuy nhiên, bậc miễn phí của Secret Manager hạn chế hơn nhiều, chỉ 10.000 thao tác truy cập miễn phí mỗi tháng. Nếu chạy trên đám mây tạo ra một vùng chứa cho gần như mọi yêu cầu, thì có vẻ như nó cũng phải truy cập các bí mật với tốc độ xấp xỉ như vậy, làm giảm đáng kể hạn ngạch của bậc miễn phí.

Vì vậy, câu hỏi của tôi là, Tôi nên thiết lập các biến môi trường cho phiên bản Cloud Run của mình như thế nào mà không phá hủy bậc miễn phí đã khiến nền tảng trở nên hấp dẫn ngay từ đầu? Chỉ cần đặt mật khẩu cơ sở dữ liệu, v.v. vào các biến môi trường có vẻ là một ý tưởng tồi, nhưng tôi không rõ có bao nhiêu rủi ro bảo mật thực sự đặt ra khi dự án là một trang web của sinh viên không chứa bất kỳ thông tin cá nhân nhạy cảm nào trong cơ sở dữ liệu và cũng cho rằng người dùng có quyền truy cập quản trị vào bảng điều khiển Google Cloud vẫn có thể truy cập các giá trị bí mật từ trình quản lý bí mật.

Trả tiền cho Người quản lý bí mật. Các mô-đun bảo mật phần cứng và chứng thực tuân thủ để triển khai nó không miễn phí.

Hoặc đưa ra một giải pháp khác. Phần mềm quản lý bí mật khác nhau, bí mật lưu trữ kém phức tạp hơn trong tệp văn bản thuần túy, mô hình triển khai ứng dụng khác nhau. Điều này có thể không tương thích với việc sử dụng riêng sản phẩm Cloud Run được quản lý.

không rõ cho tôi biết có bao nhiêu rủi ro bảo mật thực sự gây ra rằng dự án là một trang web của sinh viên không chứa bất kỳ thông tin cá nhân nhạy cảm trong cơ sở dữ liệu

Có thể là một rủi ro nhỏ đối với tổ chức của bạn trong bức tranh lớn, nhưng bất cẩn với các bí mật là một thói quen xấu.

Mọi ứng dụng, ngay cả những ứng dụng nhỏ trong môi trường tuân thủ đơn giản, đều xứng đáng được bảo vệ bí mật ở một mức độ nào đó. Ít nhất là các tệp cấu hình truy cập bị hạn chế. Chắc chắn không được nhúng vào mã ứng dụng.

người dùng có quyền truy cập quản trị vào bảng điều khiển Google Cloud có thể truy cập các giá trị bí mật từ trình quản lý bí mật.

Ẩn dữ liệu từ các quản trị viên được ủy quyền không phải là điểm của các hệ thống bí mật. Mọi truy cập hoặc xóa bí mật đều được ghi lại. Về lý thuyết, điều này cho phép bắt quả tang việc tiết lộ những điều này cho kẻ tấn công hoặc sử dụng các phiên bản cũ đã quá thời hạn mà chúng được cho là sẽ được luân chuyển.

Để giữ cho chi phí của bạn ở mức thấp, bạn cần tìm ra cách tiếp cận tốt nhất là gì để duy trì các thùng chứa của bạn hoặc cho phép nó ngừng hoạt động.

Tóm lại, các bộ chứa Cloud Run có thể không hoạt động trong tối đa 15 phút trước khi tắt. Tối đa hóa thời gian hoạt động của nó có xu hướng tránh các yêu cầu bổ sung đối với Người quản lý bí mật.

Bạn có thể định cấu hình hệ thống giám sát để gửi yêu cầu tới ứng dụng của mình cứ sau 10 phút, trong những giờ bạn truy cập nhiều nhất, để duy trì vùng chứa của bạn và không gửi yêu cầu nào trong những giờ ít truy cập hơn để tắt ứng dụng vào ban đêm.

Bằng cách này, bạn có thể giảm thiểu việc khởi động và khởi động nguội công-te-nơ trong giờ làm việc và cho phép chúng tắt vào ban đêm để tiết kiệm chi phí.