视频
Redis for Python Developers 课程现已在 Redis 大学上线
了解更多
Redis 8 来了——而且是开源的
了解更多
分享
在过去的几个月里,Redis 教育团队一直在努力开发一门关于 Redis 安全性的新课程。今天,我们很高兴地宣布RU330:Redis 安全性正式上线!如果您在生产环境中运行 Redis,那么您绝对想注册。
如果您需要更多说服,请继续阅读。
任何有价值的数据库都必须是安全的,这是一个普遍真理。但是如何保护 Redis 的安全呢?说实话,Redis 的早期开发通常优先考虑实用性和稳定性,而不是安全性。
不过,这种情况在最近几年发生了变化,尤其是随着 Redis 6 的发布。现在,您可以利用访问控制列表 (ACL) 来实现最小权限原则,并且可以通过启用 TLS(传输层安全性)加密来保护您的 Redis 连接。
在此基础上,我们希望创建 Redis 安全性的权威指南,并且 RU330:Redis 安全性就是我们努力的成果。
那么,谁在教授这门课程?为什么要参加这门课程?您将学到什么?
Redis 安全性的想法始于 Jamie Scott,他是一位专注于安全的 Redis 产品经理。Jamie 每天与我们的客户讨论安全性,并且深入参与了开源 Redis 6、Redis Enterprise 和 Redis Enterprise Cloud 的安全功能开发。不用说,Jamie 是领导这项工作的完美人选,并且 Jamie 是安全课程的大部分首席讲师。
我是 Jamie 的共同教师。作为一名资深的软件工程师、技术作者和经验丰富的 Redis 大学 课程 开发人员,我帮助 Jamie 创建了一个我们希望是引人入胜、信息丰富且值得您花时间的课程。
我们的课程采用整体方法进行安全教育。
在深入研究任何特定于 Redis 的主题之前,我们首先介绍一些我们认为每个人都应该知道的通用安全原则。我们涵盖信息安全的基础知识,包括 CIA 三要素(保密性、完整性和可用性)、纵深防御和 最小权限原则。这为 Redis 基本安全控件的介绍奠定了基础。在课程的后面,我们将全面介绍加密和公钥密码学,然后准确地向您展示如何在 Redis 部署中实现 TLS。
在解释 Redis 安全功能背后的原因时,我们的目标是帮助您在投入生产时做出最佳决策。例如,我们希望您认真思考您的应用程序实际需要什么级别的 Redis 访问权限。如果您运行的服务的唯一工作是返回针对 RediSearch 运行的搜索查询,那么您将需要为该服务创建一个特定的 ACL 用户。您定义的 ACL 用户可能看起来像这样
user searchservice on >secret +FT.SEARCH ~*
此 ACL 指令创建一个用户,该用户能够运行完全一个 Redis 命令:FT.SEARCH,它查询 RediSearch 索引。这是一个很好的做法,因为它降低了您的应用程序在受到攻击时造成任何损害的可能性。例如,您的应用程序将无法调用 FLUSHDB 命令,该命令将删除所有 Redis 数据,并可能给您的用户带来一些不适。
您可以将本课程视为一系列避免 Redis 恐怖故事的技术。事实上,由于 Redis 部署范围如此广泛,因此它可能成为 黑客(坏的)和 脚本小子 的目标。作为一种激励,Jamie 和我想出了每周在课程中介绍一个不同的 Redis 恐怖故事。您将了解一些臭名昭著的 Redis 漏洞以及可能采取哪些措施来避免它们。
本课程侧重于开源 Redis,因此它广泛适用于大多数 Redis 用户。有时我们会指出 Redis Enterprise 或 Redis Enterprise Cloud 的一项功能,当您在组织中扩展 Redis 的使用时可能需要它。但是 Redis 也完全致力于开源 Redis 用户,因此我们在本课程中强调开源 Redis,就像我们在其他 今天提供的六门 Redis 大学课程 中所做的那样。
您可以学习 Redis 安全性,并且您还可以通过做出正确的安全决策来阻止大多数攻击者。RU330:Redis 安全性 教您所有这些内容,以及您可以应用于您需要保护的任何系统的许多原则。
本课程由讲师指导,为期三周,最后一周用于期末考试。在此期间,我将在 课程 Discord 频道 中回答您的所有问题,或者只是打个招呼。我们希望您能加入我们!
![Announcing the New Redis University YouTube Channel [Video]](https://redis.ac.cn/wp-content/uploads/2020/06/Redis-University-YouTube-Channel.png?format=pjpg&auto=webp&quality=1&width=500)