“这是一场可预见的噩梦!”
近期,黑客通过攻击亚洲最大两家数据中心—万国数据和新科电信媒体,获取国际巨头企业的登录凭证,引发了2000多家企业史诗级数据泄露。中国作为全球第二大托管服务市场,尤其应当警惕威胁,即刻做出预控措施,应对风险!
数据安全问题的重要性不言而喻,特别是对于企业团队来说,保护公司数据安全更是首要任务。虹科提供的Redis企业版数据库正在不断努力升级产品的安全性!在虹科提供的Redis企业版数据库6.4.2中,对其现有的安全功能进行了强化:新增客户端证书和发布/订阅访问管理两大功能!使其在符合法规和行业要求的前提下,成为企业的最强助攻担当,为企业提供更多的便利和服务。
那么问题来了:“虹科提供的Redis企业版数据库这次为何着重突出这两项功能的升级,它又凭什么能为企业实现数据安全叠加最强Buff?”别着急,虹科来为你一一解答!
一. 带有subject验证的双向TLS身份验证
1. 传输层安全性(TLS)
传输层安全性( TLS )是一种加密协议,TLS被互联网工程任务组(Internet Engineering Task Force, IETF)描述为“互联网的核心安全协议”,目的是为互联网通信提供安全及数据完整性保障。具体表现为:
(1) TLS协议采用主从式架构模型。该模型被广泛应用于保护计算机应用程序间的通信:在两个应用程序间透过网络创建安全的连线,来防止数据在交换时受到窃听和篡改。
(2) TLS使用一种叫做公钥加密的技术运作。它依赖于一对密钥(公钥和私钥),任何用公钥加密的内容,都只能用私钥来解密。如果服务器解密了用公钥加密的信息,就证明它拥有私钥,公钥可以让任何人通过域或服务器的TLS证书来查看。
2. Mutual TLS (mTLS)
Mutual TLS (mTLS),是一种用于双向验证身份的方法:
(1) mTLS是在会话开始,TSL进行握手时,服务器与客户端互相提供交换证 书,通过证书颁发机构来彼此验证身份,认证通过方可进行通信的过程。
(2) 使用mTLS的必要性:
首先,它为登录到团队网络或应用程序的用户提供了一层额外的安全保护。其次,它还可以验证与不遵循登录过程的客户端之间的链接。最重要的是,它可以防止:在途攻击、欺骗攻击、凭证填充、暴力攻击、网络钓鱼攻击、恶意API请求等各类型攻击。
另外,对于日常用途,单向身份验证提供了足够的保护。但在单个或较小的团队规模上,mTLS还是非常实用的。尤其是为在保持API的安全上,mTLS通常被用于零信任安全框架,由于零信任方法默认不信任任何用户、设备或请求,因此团队必须能够在每次尝试访问网络中的任何时间对每个用户、设备和请求进行身份验证。mTLS刚好能够通过验证用户和验证设备来实现这一点。
(3) 在虹科Redis企业版数据库中,可以将其配置为使用mTLS。此时,如果客户端试图连接到数据库,Redis企业版数据库就会在TLS握手期间验证客户端的证书之后,再允许它连接到数据库。
但如果多个客户端都获得了有效的客户端证书,而您只想允许他们中的部分人访问某个数据库时,就是我们虹科Redis企业版数据库6.4.2新功能(额外的证书验证)上场的时刻啦!从6.4.2版开始,虹科Redis企业版数据库是允许您对经过身份验证的客户端证书执行其他验证的:
(1)使用公钥证书的subject字段。其中包含了有关证书所属客户端身份的附加信息。基于此,在允许客户端连接到数据库之前,虹科Redis企业版数据库会执行两个步骤:
1) 该证书以加密方式进行身份验证。
2)将证书的subject信息与数据库配置的允许subject列表进行比较,仅当找到匹配项时才允许连接。
例如,一个使用Redis企业版数据库的国家大型金融机构,希望根据客户端证书来控制客户可以访问的特定数据库。他们的客户都使用有效的客户证书,但具有不同的subject值。一旦为数据库开启“附加证书验证”选项,并正确配置允许的subject列表后,该机构现在就可以控制特定客户端证书子集来访问对应数据库。
(2)在虹科Redis企业版数据库中使用mTLS涉及几个步骤:
1)为数据库开启TLS和mTLS选项;
2)加载数据库的相关证书颁发机构(CA)根证书或中间证书;
3)添加允许的subject行列表;
4)选择“按完整subject进行的其他证书验证”选项。
编辑搜图
二.强化Redis ACL发布/订阅的访问管理功能
发布/订阅(pub/sub)是一种允许间接通信的消息传递方法。客户端或应用程序可以向共享资源端发布消息,其他客户端或应用程序也可以订阅该资源来接收这些消息。
在虹科Redis企业版数据库中,我们把这种资源称为通道,它提供了一种快速、轻量和可扩展的解决方案。发布/订阅频道和广播电台的运作模式相似,企业需要连接之后才能接收消息。发布/订阅频道的同步性使得实时通知、在微服务之间发送消息、在应用程序的不同部分之间进行通信成为可能。
值得注意的是,这些资源显然是需要得到软件保护的:
(1)访问控制列表(ACL)一个规则列表,其中的每条规则都对资源或操作的访问权限授予或拒绝。ACL是团队限制未授权用户访问敏感业务信息,或执行未授权操作的强大工具。
为满足用户的需求,Redis企业版数据库正在不断增强其ACL功能和覆盖范围。随着Redis企业版数据库6.4.2的发布,ACL现在可以允许和禁止访问发布/订阅频道。
(2)送到频道的无效消息会破坏应用程序。它可能会导致数据损坏、数据丢失甚至中断。通过限制所有访问权限,并仅允许相关用户访问特定频道,这样可以减少无论是出于恶意还是无意,被限制访问或发送消息这两种情况被执行的机会。
(3)资源保护的方法主要有两种:
1) 是隐式访问:客户可以访问所有内容,并设置权限以限制访问。就好像:任何人都可以进入一家餐馆,除非被餐馆老板列入了黑名单禁止入内。
2)显式授予:除非客户被显式授予权限,否则无权访问。就比如:如果没有通过安检和机场工作人员验证机票,一般无法登上飞机。当然,这种资产保护的方法更安全。
(4)虹科提供的Redis企业版数据库所采用的方法:除了允许使用ACL的渠道,选择限制所有发布/订阅渠道。目前,在虹科提供的Redis企业版数据库 6.4.2中,可以通过配置适用于所有数据库通道的集群范围默认选项,来达到这个目的。
为了避免更改过于极端及符合以前的版本,虹科提供的Redis企业版数据库6.4.2安装提供的 acl-pubsub-default 值也是被所有频道允许的。一旦集群中的所有数据库都处于Redis版本6.4.2(或未来版本中的更高版本)中,我们建议将此值设置为“restrictive”(resetchannels)。
另外,如果是正在使用ACL和发布/订阅渠道,建议检查数据库和ACL设置并切换到受限模式,因为这将是未来虹科Redis企业版数据库中 acl-pubsub-default 的新默认值。
三. 更多功能优势:节省时间和资源
尽管虹科提供的Redis企业版数据库6.4.2的突出重点是上述安全功能。但新添功能绝不止于此!
1.生成自签名证书
虹科Redis企业版数据库提供自签名TLS证书,从而允许不使用受信任的CA签名证书的客户也可以安全使用。但注意,自签名证书默认有效期为一年,所以建议客户在其过期前及时更新这些证书。
另外,虹科Redis企业版数据库现在还提供了一个用户友好的脚本,客户不需要事先了解这些,也能快速轻松地创建新的一次性自签名证书。在此之后也只需通过几个简单的步骤就能将这些证书加载到Redis企业版数据库中。
2.服务灵活选择
众所周知,Redis企业版数据库提供的服务丰富多样,但有时它们也不是全部被需要的。虹科Redis企业版数据库提供了删除服务工具,借此可以节省内存资源,并为更有价值的服务腾出空间。
虹科Redis企业版数据库还添加了禁用警报管理器的功能,用以发送电子邮件警报:rladmin cluster config alert_mgr [
但如果拥有替代警报系统,则也许此服务会被禁用。建议谨慎使用此功能。
借助虹科提供的Redis企业版数据库6.4.2,可以更快、更高效、更灵活的创建应用程序。最重要的是,对用户的整个创建过程都是安全的,这也是Redis企业版数据库6.4.2诞生的意义所在!
虹科Redis企业版软件(Redis Enterprise)是企业级的数据库软件,也是一款实时数据平台,为全球超过8500家知名企业提供实时数据服务。具有线性可扩展性、高可用性、持久性、备份和恢复、地理分布、分层内存访问、多租户、安全性等8大核心功能、拥有RediSearch、RedisJSON等7大【Redis企业版特有模块】,可以任何规模在云、本地和混合部署中运行现代应用程序,提供无服务器、多模型的数据库解决方案。Redis企业版的核心优势是采用Redis on flash分层存储技术即【内存+闪存+磁盘】的存储方式,其Active-Active地理分布式架构允许跨地理位置同时进行数据读写操作、拥有亚毫秒延迟和极高吞吐量。
提问:
1.“你的企业在数据安全保护方面最大的难题是什么?
2.“你对本次黑客攻击,两大亚洲数据中心大规模泄露有什么理解和想法呢?”
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
机房租用,北京机房租用,IDC机房托管, http://www.e1idc.net