保护 Redis 部署的 5 个基本步骤

最近的安全报告指出了配置错误的 Redis 数据库面临的攻击风险。以下保护 Redis 部署的五个基本步骤。

近期网络研究社区强调攻击者如何滥用配置不安全的 Redis 数据库。作为全球使用最广泛的 NoSQL 数据库之一，Redis（开源和商业版）的庞大安装量使其自然而然地成为攻击者的目标。

然而，Redis 用户可以采取一些基本措施来降低攻击风险，比如 AquaSec 发现的 HeadCrab 恶意软件活动。

我们应该注意，没有迹象表明 Redis Enterprise 软件或 Redis 云服务受到这些攻击的影响。

自 3.2.0 版起，Redis 开源（Redis OSS）在以默认配置执行且无需任何密码即可进行访问时，会进入一种称为受保护模式的特殊模式。在这种模式下，Redis 仅回复来自回环接口的查询。当客户端从其他地址连接时，Redis OSS 会回复一条错误，说明问题所在以及如何正确配置 Redis。

我们希望受保护模式能够减少由未经适当管理执行的未受保护 Redis 实例导致的安全问题。但系统管理员可以忽略 Redis 发出的错误；这些管理员可以禁用受保护模式或手动绑定所有接口。造成攻击（例如 HeadCrab）的目标是这些类型的部署，而这些类型的部署似乎很多。

以下是一些有关如何开始保护 Redis 部署的基本建议

在受信任的网络内部部署 Redis。在可能的情况下，管理员应避免将 Redis 直接暴露于公共互联网。配置安全组和 IP 白名单等控制措施，以仅公开必需的服务。
确保正确配置用户访问控制。这包括为数据库用户和管理员分离帐户、实施强密码、禁用默认用户帐户，以及实施基于角色的访问控制 (RBAC)。Redis Enterprise 软件客户可以选择启用 LDAP 身份验证，而 Redis 云客户可以使用他们的公司 SSO 系统来控制访问。
尽可能为通信实施 Redis TLS 加密和身份验证。虽然 Redis 支持自签名证书，但我们强烈建议你使用具有有效公有信任链的证书。
确保将 Redis 日志发送到远程日志记录服务，并监视它们是否存在异常用法或行为的迹象。
最后，参加我们的免费 Redis 大学课程，了解如何安全地配置和部署 Redis。本课程对功能和最佳实践进行直接演练。

有关如何安全配置、部署以及使用 Redis 的详细信息，请访问我们的开源和商业软件文档站点。

相关博文