虹科乾貨｜Redis企業版資料庫為企業「數據安全」疊加最強Buff！

“這是一場可預見的噩夢！”    

近期，黑客通過攻擊亞洲最大兩家數據中心—萬國數據和新科電信媒體，獲取國際巨頭企業的登錄憑證，引發了2000多家企業史詩級數據泄露。中國作為全球第二大托管服務市場，尤其應當警惕威脅，即刻做出預控措施，應對風險！

數據安全問題的重要性不言而喻，特別是對於企業團隊來說，保護公司數據安全更是首要任務。虹科提供的Redis企業版資料庫正在不斷努力升級產品的安全性！在虹科提供的Redis企業版資料庫6.4.2中，對其現有的安全功能進行了強化：新增客戶端證書和發佈/訂閱訪問管理兩大功能！使其在符合法規和行業要求的前提下，成為企業的最強助攻擔當，為企業提供更多的便利和服務。

那麼問題來了：“虹科提供的Redis企業版資料庫這次為何著重突出這兩項功能的升級，它又憑什麼能為企業實現數據安全疊加最強Buff？”彆著急，虹科來為你一一解答！

一. 帶有subject驗證的雙向TLS身份驗證

1. 傳輸層安全性（TLS）

傳輸層安全性( TLS )是一種加密協議，TLS被互聯網工程任務組(Internet Engineering Task Force, IETF)描述為“互聯網的核心安全協議”，目的是為互聯網通信提供安全及數據完整性保障。具體表現為：

(1) TLS協議採用主從式架構模型。該模型被廣泛應用於保護電腦應用程式間的通信：在兩個應用程式間透過網路創建安全的連線，來防止數據在交換時受到竊聽和篡改。

(2) TLS使用一種叫做公鑰加密的技術運作。它依賴於一對密鑰（公鑰和私鑰），任何用公鑰加密的內容，都只能用私鑰來解密。如果伺服器解密了用公鑰加密的信息，就證明它擁有私鑰，公鑰可以讓任何人通過域或伺服器的TLS證書來查看。

2. Mutual TLS (mTLS)

Mutual TLS (mTLS)，是一種用於雙向驗證身份的方法：

(1) mTLS是在會話開始，TSL進行握手時，伺服器與客戶端互相提供交換證    書，通過證書頒發機構來彼此驗證身份，認證通過方可進行通信的過程。

(2) 使用mTLS的必要性：

首先，它為登錄到團隊網路或應用程式的用戶提供了一層額外的安全保護。其次，它還可以驗證與不遵循登錄過程的客戶端之間的鏈接。最重要的是，它可以防止：在途攻擊、欺騙攻擊、憑證填充、暴力攻擊、網路釣魚攻擊、惡意API請求等各類型攻擊。

另外，對於日常用途，單向身份驗證提供了足夠的保護。但在單個或較小的團隊規模上，mTLS還是非常實用的。尤其是為在保持API的安全上，mTLS通常被用於零信任安全框架，由於零信任方法預設不信任任何用戶、設備或請求，因此團隊必須能夠在每次嘗試訪問網路中的任何時間對每個用戶、設備和請求進行身份驗證。mTLS剛好能夠通過驗證用戶和驗證設備來實現這一點。

(3) 在虹科Redis企業版資料庫中，可以將其配置為使用mTLS。此時，如果客戶端試圖連接到資料庫，Redis企業版資料庫就會在TLS握手期間驗證客戶端的證書之後，再允許它連接到資料庫。

但如果多個客戶端都獲得了有效的客戶端證書，而您只想允許他們中的部分人訪問某個資料庫時，就是我們虹科Redis企業版資料庫6.4.2新功能（額外的證書驗證）上場的時刻啦！從6.4.2版開始，虹科Redis企業版資料庫是允許您對經過身份驗證的客戶端證書執行其他驗證的：

（1）使用公鑰證書的subject欄位。其中包含了有關證書所屬客戶端身份的附加信息。基於此，在允許客戶端連接到資料庫之前，虹科Redis企業版資料庫會執行兩個步驟：

1) 該證書以加密方式進行身份驗證。

2）將證書的subject信息與資料庫配置的允許subject列表進行比較，僅當找到匹配項時才允許連接。

例如，一個使用Redis企業版資料庫的國家大型金融機構，希望根據客戶端證書來控制客戶可以訪問的特定資料庫。他們的客戶都使用有效的客戶證書，但具有不同的subject值。一旦為資料庫開啟“附加證書驗證”選項，並正確配置允許的subject列表後，該機構現在就可以控制特定客戶端證書子集來訪問對應資料庫。

（2）在虹科Redis企業版資料庫中使用mTLS涉及幾個步驟：

1）為資料庫開啟TLS和mTLS選項；

2）載入資料庫的相關證書頒發機構(CA)根證書或中間證書；

3）添加允許的subject行列表；

4）選擇“按完整subject進行的其他證書驗證”選項。

編輯搜圖

請點擊輸入圖片描述（最多18字）

二．強化Redis ACL發佈/訂閱的訪問管理功能

發佈/訂閱（pub/sub）是一種允許間接通信的消息傳遞方法。客戶端或應用程式可以向共用資源端發佈消息，其他客戶端或應用程式也可以訂閱該資源來接收這些消息。

在虹科Redis企業版資料庫中，我們把這種資源稱為通道，它提供了一種快速、輕量和可擴展的解決方案。發佈/訂閱頻道和廣播電臺的運作模式相似，企業需要連接之後才能接收消息。發佈/訂閱頻道的同步性使得實時通知、在微服務之間發送消息、在應用程式的不同部分之間進行通信成為可能。

值得註意的是，這些資源顯然是需要得到軟體保護的：

（1）訪問控制列表（ACL）一個規則列表，其中的每條規則都對資源或操作的訪問許可權授予或拒絕。ACL是團隊限制未授權用戶訪問敏感業務信息，或執行未授權操作的強大工具。

為滿足用戶的需求，Redis企業版資料庫正在不斷增強其ACL功能和覆蓋範圍。隨著Redis企業版資料庫6.4.2的發佈，ACL現在可以允許和禁止訪問發佈/訂閱頻道。

（2）送到頻道的無效消息會破壞應用程式。它可能會導致數據損壞、數據丟失甚至中斷。通過限制所有訪問許可權，並僅允許相關用戶訪問特定頻道，這樣可以減少無論是出於惡意還是無意，被限制訪問或發送消息這兩種情況被執行的機會。

（3）資源保護的方法主要有兩種：

1) 是隱式訪問：客戶可以訪問所有內容，並設置許可權以限制訪問。就好像：任何人都可以進入一家餐館，除非被餐館老闆列入了黑名單禁止入內。

2）顯式授予：除非客戶被顯式授予許可權，否則無權訪問。就比如：如果沒有通過安檢和機場工作人員驗證機票，一般無法登上飛機。當然，這種資產保護的方法更安全。

(4）虹科提供的Redis企業版資料庫所採用的方法：除了允許使用ACL的渠道，選擇限制所有發佈/訂閱渠道。目前，在虹科提供的Redis企業版資料庫 6.4.2中，可以通過配置適用於所有資料庫通道的集群範圍預設選項，來達到這個目的。

為了避免更改過於極端及符合以前的版本，虹科提供的Redis企業版資料庫6.4.2安裝提供的 acl-pubsub-default 值也是被所有頻道允許的。一旦集群中的所有資料庫都處於Redis版本6.4.2（或未來版本中的更高版本）中，我們建議將此值設置為“restrictive”（resetchannels）。

另外，如果是正在使用ACL和發佈/訂閱渠道，建議檢查資料庫和ACL設置並切換到受限模式，因為這將是未來虹科Redis企業版資料庫中 acl-pubsub-default 的新預設值。

三. 更多功能優勢：節省時間和資源

儘管虹科提供的Redis企業版資料庫6.4.2的突出重點是上述安全功能。但新添功能絕不止於此！

1.生成自簽名證書

虹科Redis企業版資料庫提供自簽名TLS證書，從而允許不使用受信任的CA簽名證書的客戶也可以安全使用。但註意，自簽名證書預設有效期為一年，所以建議客戶在其過期前及時更新這些證書。

另外，虹科Redis企業版資料庫現在還提供了一個用戶友好的腳本，客戶不需要事先瞭解這些，也能快速輕鬆地創建新的一次性自簽名證書。在此之後也只需通過幾個簡單的步驟就能將這些證書載入到Redis企業版資料庫中。

2.服務靈活選擇

眾所周知，Redis企業版資料庫提供的服務豐富多樣，但有時它們也不是全部被需要的。虹科Redis企業版資料庫提供了刪除服務工具，藉此可以節省記憶體資源，併為更有價值的服務騰出空間。

虹科Redis企業版資料庫還添加了禁用警報管理器的功能，用以發送電子郵件警報：rladmin cluster config alert_mgr [<enabled | disabled>

但如果擁有替代警報系統，則也許此服務會被禁用。建議謹慎使用此功能。

藉助虹科提供的Redis企業版資料庫6.4.2，可以更快、更高效、更靈活的創建應用程式。最重要的是，對用戶的整個創建過程都是安全的，這也是Redis企業版資料庫6.4.2誕生的意義所在！

虹科Redis企業版軟體（Redis Enterprise）是企業級的資料庫軟體，也是一款實時數據平臺，為全球超過8500家知名企業提供實時數據服務。具有線性可擴展性、高可用性、持久性、備份和恢復、地理分佈、分層記憶體訪問、多租戶、安全性等8大核心功能、擁有RediSearch、RedisJSON等7大【Redis企業版特有模塊】，可以任何規模在雲、本地和混合部署中運行現代應用程式，提供無伺服器、多模型的資料庫解決方案。Redis企業版的核心優勢是採用Redis on flash分層存儲技術即【記憶體+快閃記憶體+磁碟】的存儲方式，其Active-Active地理分散式架構允許跨地理位置同時進行數據讀寫操作、擁有亞毫秒延遲和極高吞吐量。

提問：

1.“你的企業在數據安全保護方面最大的難題是什麼？

2.“你對本次黑客攻擊，兩大亞洲數據中心大規模泄露有什麼理解和想法呢？”

虹科是Redis企業版資料庫的中國區戰略合作伙伴，虹科持續關註各行業當下急切需求，專註於為企業解答疑問，制定專屬服務，提供一站式解決方案，虹科提供的Redis企業版資料庫是無數企業數據安全保護路上的最佳合作選擇！為企業的數據安全保駕護航！

點贊收藏轉發~關註我們！關於企業如何更好地實現數據安全保護有任何其他疑問，歡迎在評論區進行交流或者聯繫我們！