Redis 安全课程现已在 Redis 大学上线

在过去几个月里，Redis 教育团队一直在努力开发一个涵盖 Redis 安全的新课程。今天，我们很高兴宣布 RU330：Redis 安全的普遍可用性！如果您在生产环境中运行 Redis，那么您一定要注册。

如果您需要更多说服力，请继续阅读。

为什么要学习 Redis 安全？

任何值得称道的数据库都必须是安全的，这是不言而喻的。但是您如何保护 Redis 呢？说实话，Redis 的早期开发通常将实用性和稳定性置于安全性之上。

然而，这种情况在近年来发生了变化，尤其是在 Redis 6 发布之后。现在，您可以通过利用访问控制列表 (ACL) 来实施最小特权原则，并且可以通过启用 TLS (传输层安全) 加密来保护 Redis 连接。

在这一势头的基础上，我们希望创建 Redis 安全的权威指南，并且 RU330：Redis 安全就是这项工作的成果。

那么，谁在教授这门课程？为什么要学习这门课程？您将学到什么？

课程讲师

Redis 安全的想法起源于 Jamie Scott，他是 Redis 产品经理，专注于安全。Jamie 每天都会与我们的客户讨论安全问题，他深度参与了开源 Redis 6、Redis Enterprise 和 Redis Enterprise Cloud 的安全功能开发。不用说，Jamie 是领导这项工作的最佳人选，并且 Jamie 是安全课程大部分内容的主讲老师。

我是 Jamie 的助教。作为一名经验丰富的软件工程师、技术作家和经验丰富的 Redis 大学课程开发者，我帮助 Jamie 创建了我们希望能够让您参与其中、内容丰富且值得您花时间的课程。

您将学到什么

我们的课程对安全教育采取了整体方法。

在深入研究任何 Redis 特定主题之前，我们首先介绍一些我们认为每个人都应该了解的一般安全原则。我们涵盖了信息安全的基础知识，包括 CIA 三元组 (机密性、完整性和可用性)、纵深防御和最小特权原则。这为 Redis 的基本安全控制的介绍奠定了基础。在课程的后面，我们对加密和公钥密码学进行了全面介绍，然后向您展示如何在您的 Redis 部署中实现 TLS。

在解释 Redis 安全功能背后的原因时，我们的目标是帮助您在进入生产环境时做出最佳决策。例如，我们希望您认真考虑您的应用程序实际上需要什么级别的 Redis 访问权限。如果您正在运行一项服务的唯一工作是返回针对 RediSearch 执行的搜索查询，那么您将希望为此服务创建一个特定的 ACL 用户。您定义的 ACL 用户可能如下所示

user searchservice on >secret +FT.SEARCH ~*

此 ACL 指令创建了一个能够执行一个 Redis 命令的用户：FT.SEARCH，它查询 RediSearch 索引。这是一种好做法，因为它降低了应用程序在被入侵时造成损害的可能性。例如，您的应用程序将无法调用 FLUSHDB，这是一个会删除所有 Redis 数据的命令，这可能会让您的用户感到不舒服。

恐怖故事

您可以将这门课程视为一系列避免 Redis 恐怖故事的技术。事实上，由于 Redis 的部署非常广泛，它可能会成为黑客 (不好的一类) 和脚本小子的目标。作为一种激励，我和 Jamie 想出了一个想法，在课程的每个星期都介绍一个不同的 Redis 恐怖故事。您将了解一些臭名昭著的 Redis 漏洞以及可能采取的措施来避免它们。

开源 Redis

这门课程侧重于开源 Redis，因此它适用于大多数 Redis 用户。我们有时会指出 Redis Enterprise 或 Redis Enterprise Cloud 的一项功能，您在组织中扩展 Redis 的使用时可能需要该功能。但是 Redis 也完全致力于开源 Redis 用户，因此我们在本课程中强调开源 Redis，就像我们在今天提供的其他六个 Redis 大学课程中所做的那样。

保护您的 Redis 部署

您可以学习 Redis 安全，并且还可以通过做出正确的安全决策来阻止大多数攻击者。RU330：Redis 安全教授您所有这些内容，以及您可以应用于任何需要保护的系统的许多原则。

这门课程是讲师主导的，持续三周，另外一周用于期末考试。在此期间，我将在课程 Discord 频道中随时为您解答您的所有问题，或者只是说“你好”。我们希望您能加入我们！