速度的未来即将在您所在的城市举办的活动中亮相。
加入我们在 Redis 发布会
分享
今天早些时候,安全公司 TrendMicro 发布了一篇 博客文章,其中包含该公司安全研究人员的发现。该团队使用 Shodan(一个流行的互联网连接或物联网 (IoT) 设备搜索引擎)来识别各种云中的 8,000 多台未保护的 Redis 服务器。如果未经保护,此类服务器可能会被网络罪犯用于进行恶意活动。
这个数字很大,但它表明暴露的服务器总数在不断减少。大约三年前,我使用相同的方法统计了 9,916 台这样的服务器,一年后,Shodan 确认,更新版本的 Redis,特别是 4.0 版本,“极大地改善/降低了公开可访问的 Redis 实例数量”,全球范围内统计了 17,443 台未保护的服务器。
这一显著改进归功于 Redis 4.0 版本中引入的 保护模式,该模式已移植到 Redis 3.2.0 版本。这种特殊模式默认情况下处于启用状态,它阻止从外部不安全地访问服务器。查看未保护服务器使用的 Redis 版本前十名,我们发现暴露的服务器中相当一部分仍在使用过时的版本。
从 Shodan 报告中可以看出,上表显示了暴露的 Redis 服务器的版本(右侧)及其对应的数量(左侧)。当然,运行 Redis v3.2.0 及更高版本的暴露服务器令人担忧。这意味着这些 Redis 服务器的管理员故意禁用了保护模式,并且没有为其数据库设置密码。故意这样做背后的动机尚不清楚;似乎无论采取多少安全保护措施,都无法完全避免人为错误的可能性。
也就是说,我们一直在改进开源 Redis 的安全性。 Redis 提供的托管服务开箱即用,安全可靠,无需用户自行摸索安全实践。此外,安全性 是即将发布的开源 Redis 版本(预计将于今年 4 月晚些时候发布)的重点。即将推出的 Redis 6.0 版本 为所有三种通信通道(客户端-服务器、主服务器-从服务器和集群总线)添加了传输层安全 (TLS) 加密。此外,Redis 6.0 包含一个新的 访问控制列表 (ACL) 机制,该机制集成到服务器中,允许定义细粒度的用户权限,用于访问和操作数据。
Redis 一直非常重视安全风险,我们的企业产品旨在帮助防止这些风险。Redis 企业版堆栈阻止创建无密码数据库。Redis 企业版的其他安全功能包括 TLS 加密以及与组织身份管理系统的紧密集成,如 此处 和 此处 所述。
从整体上看,Trend Micro 的博客文章实际上显示了暴露的开源 Redis 服务器数量呈令人鼓舞的下降趋势。与此同时,更新版本通过减少攻击面、加密通信通道以及添加权限管理来改进开源 Redis 的安全模型。
然而,开源软件(包括 Redis)本质上可以轻松配置所有、部分或没有安全功能。因此,在生产环境中使用 Redis 时,用户应仔细检查其安全设置,或者选择经过生产验证且安全性经过强化Redis 企业版。
