摘要:GaussDB (for Redis)通過賬號管理、許可權隔離、高危命令禁刪/重命名、安全IP免密登錄、實例回收站等企業級特性,保障用戶資料庫數據和信息安全。 本文分享自華為雲社區《數據安全沒保證?GaussDB(for Redis)為你保駕護航》,作者: GaussDB 資料庫。 近日,一些用 ...
摘要:GaussDB (for Redis)通過賬號管理、許可權隔離、高危命令禁刪/重命名、安全IP免密登錄、實例回收站等企業級特性,保障用戶資料庫數據和信息安全。
本文分享自華為雲社區《數據安全沒保證?GaussDB(for Redis)為你保駕護航》,作者: GaussDB 資料庫。
近日,一些用戶反饋使用的開源Redis中新增了幾個未知來源的Key。工程師小伙伴分析發現,用戶使用的開源Redis沒有設置密碼,很可能是遭到了Redis擴散病毒的攻擊,錶面上只是新增了幾個未知的key,實際上甚至可能面臨資料庫信息丟失和記錄篡改的問題!
作為一個重視技術的團隊,保障用戶的信息安全和使用體驗始終是第一位的。對這次用戶使用開源Redis遇到的問題,團隊成員總結分析,列舉出GaussDB (for Redis)精心打造的數據安全保護特性:
- 賬號管理、資料庫許可權隔離;
- 高危命令禁用、重命名;
- 安全IP/網段開啟免密登錄;
- 實例回收站。
基於這些企業級安全特性,GaussDB (for Redis)在為用戶提供穩定、可靠、便捷的使用體驗的同時,全力為用戶的數據安全保駕護航。
特性一:賬號管理+許可權隔離,數據不亂輕鬆松
單個GaussDB (for Redis)實例提供多達6w+獨立的資料庫供用戶使用,用戶可以根據業務和存儲場景使用不同的DB存儲,從而實現數據分離。多DB的隔離儲存功能為業務帶來了極大的方便,但是錯誤的使用也可能會導致問題。
設想以下場景:
某電商平臺提供多種搶購功能,每個活動每個用戶僅能參加一次。為業務方便,直接使用一個新的DB進行新上線搶購業務的數據存儲。由於使用同一個賬號登錄,粗心的同事復用了之前的代碼,忘記或錯誤配置新業務使用的資料庫ID信息,將數據寫入其他的搶購場景中,干擾其他搶購場景的正常使用。
鐺鐺鐺,這裡要隆重介紹GaussDB (for Redis)的賬號管理功能,資料庫實例的每個賬號、資料庫的許可權彼此隔離,從根本上防止這種衝突場景的出現。
資料庫管理控制臺中,可以創建對特定資料庫、具有讀寫/只讀許可權的賬號:
回到前面的場景,我們可以創建如下賬號:
- dbuser_1僅對DB1擁有讀寫許可權
- dbuser_2對DB2-DB5擁有讀寫許可權
- dbuser_3對所有資料庫均有隻讀許可權
基於上述賬號管理配置,通過GaussDB(for Redis)的賬號管理+許可權隔離功能的雙重加持,即使dbuser_1使用方誤操作DB2的數據,GaussDB(for Redis)將對錯誤操作進行攔截,從而實現賬戶和數據的隔離管理,保障用戶的數據安全。
探索賬戶管理的額外信息和功能,請訪問華為雲官網《賬號管理》頁面:https://support.huaweicloud.com/redisug-nosql/nosql_03_0237.html。
特性二:高危命令重命名,命令安全又安心
每個使用者在操作資料庫時,都會戰戰兢兢,尤其害怕一個命令直接刪庫,或者執行時間過長,對正常業務執行造成影響。之前曾遇到客戶在業務高峰期通過keys命令統計流量信息,此類高危命令執行時間過長,運維操作反而阻塞了正常業務的進行。
那麼,怎麼從根本上規避這種問題呢?
GaussDB (for Redis)提供命名重命名功能,可以將高危命令禁用或進行相應重命名。如,我們可以將高危flushall、flushdb以及keys命令禁用,修改hgetall, hkeys, hvals, smembers命令的名稱,防止命令被錯誤調用執行,給業務和數據安全帶來影響:
命令禁用和重命名的具體使用方式,請訪問華為雲官網《命名重命名》頁面:https://support.huaweicloud.com/redisug-nosql/nosql_10_0053.html
特性三:安全IP輸密碼太麻煩?免密登錄幫你解決
通過完善的賬戶管理、精細粒度的許可權隔離,GaussDB (for Redis)已經萬無一失。那麼有同學要問了,如果我們的伺服器可以保證足夠安全,是否可以省略掉輸入密碼這個步驟呢?
當然可以。GaussDB (for Redis)可以對用戶信任的指定IP或網段設置免密訪問功能。例如,我們可以設置IP為10.0.0.216以及網段為192.168.1.0/24的免密訪問功能,在機器上對資料庫實例的訪問就不需要密碼進行驗證:
當然,互聯網上對IP和網段的信任是相對的,因此GaussDB(for Redis)禁止對全局網段開始免密登錄功能,在合理範圍內提供用戶操作便捷性的同時,對用戶數據安全的保障是GaussDB(for Redis)的重中之重。
關於免密IP登錄的具體說明,請訪問華為雲官網《開啟免密訪問》一節:https://support.huaweicloud.com/redisug-nosql/nosql_03_0236.html。
特性四:誤刪實例心慌慌?實例回收站來幫忙
和實例中誤操作flushall等命令齊名、最令使用者聞風喪膽的,便是將實例誤刪了。雖然實例刪除功能藏在隱秘的角落裡,也需要用戶double check,但總還是有誤刪除的可能在時刻敲打著用戶。而且,近年來惡意刪庫新聞屢見不鮮,如何保障被誤刪或者惡意刪除的資料庫的信息安全呢?
信息安全當然、也必須要保證!GaussDB (for Redis)提供實例回收站的企業級特性,實例誤刪無法恢復?不存在的!在實例回收站,可以看到最近7天內至多100個已刪除的資料庫實例,不幸誤刪?一鍵重建,數據還原,絲般順滑,和數據丟失說拜拜。
總結
GaussDB (for Redis)通過賬號管理、許可權隔離、高危命令禁刪/重命名、安全IP免密登錄、實例回收站等企業級特性,保障用戶資料庫數據和信息安全。GaussDB(for Redis)提供穩定、可靠、安全的資料庫產品使用體驗,為客戶的業務成功保駕護航。
附錄
本文作者:
華為雲資料庫GaussDB(for Redis)團隊
杭州/西安/深圳簡歷投遞:
更多產品信息,歡迎訪問官方博客:
bbs.huaweicloud.com/blogs/248875
