使用 Redis Enterprise 确保 Redis 符合合规性要求

Redis Enterprise 符合合规性要求

随着网络攻击、安全漏洞和未经授权的数据访问事件不断升级，保护您的数据变得越来越重要。 Redis Enterprise 提供高级安全控制，有助于简化对自我施加或监管合规性要求（如 HIPAA、FISMA、PCI、GDPR 等）的合规性。
活动和网络研讨会
什么是 Redis Enterprise？
首先，对于那些不熟悉 Redis Enterprise 的人来说，Redis Enterprise 是一种分布式 NoSQL 数据库引擎，它在开源 Redis 的基础上增加了增强的部署架构，提供更高的可扩展性、可用性、安全性以及更低的总拥有成本。

Redis Enterprise 完全支持开源 Redis 以及 Redis 命令、数据结构和模块。要开始使用 Redis Enterprise，现有应用程序只需要更改其连接字符串以指向 Redis Enterprise 数据库即可。

Redis Enterprise 可作为 DBaaS 平台在云中使用，例如 Redis Enterprise 云或 Redis Enterprise VPC，也可以在您的完全控制下作为可下载软件进行管理，例如 Redis Enterprise 软件。

使用 Redis Enterprise 确保 Redis 安全

Redis Enterprise 架构旨在提供大量控制，以满足安全法规和标准。

Redis Enterprise 带来的一个重要改进是将管理访问路径和数据访问路径分开。这种分离使 Redis Enterprise 具有更细粒度的安全控制，简化了合规性，并为应用程序和开发人员提供了对集群中某个数据库的完全访问权限，以便在无需集群管理权限的情况下读取和写入数据，而这些权限可能会影响使用相同集群的其他数据库/应用程序（反之亦然）。

管理路径：管理访问用于执行可能改变集群基本行为的操作。Redis Enterprise 管理员可以更改集群拓扑、管理数据库或更改集群设置。
数据访问路径：数据访问用于对给定数据库中的数据执行操作。

图：显示单独的管理和数据访问路径的 Redis Enterprise 架构。

使用 Redis Enterprise，安全控制可以细分为几个主要领域以设置防御：身份验证和授权；“数据在传输中”和“数据在存储中”的加密；取证和日志记录。但是，应该说，尽管有所有这些安全控制，但如果人们没有保护 Redis Enterprise 使用的基础设施，那么就很难防范任何攻击。遵循安全最佳实践以确保“纵深防御”策略非常重要。让我们首先探讨如何保护 Redis Enterprise 基础设施。

纵深防御
即使 Redis Enterprise 提供了大量安全控制，但完全安全的部署需要考虑所有攻击向量。为了全面防御攻击，必须超越配置 Redis Enterprise 安全控制，并保护基础设施本身。

图：公共互联网和集群内部网络之间的每个边界处的防御性防火墙构成了防御层。

在网络安全中，这被称为“纵深防御”，指的是在攻击者和目标之间设置多层屏障。在这种情况下，您在数据中心边缘、外围网络和集群内部网络中设置了屏障。

数据中心边缘：确保进入数据中心的流量受到保护，并使用防火墙阻止来自公共互联网上的恶意来源的流量。
外围网络：Web 应用程序和服务可以被配置为允许匿名访问。这些应用程序和服务反过来可以使用自己的凭据访问 Redis Enterprise。但是，还需要确保 Redis Enterprise 不会暴露给来自互联网的公共匿名流量，这些流量进入数据中心。大多数部署还需要管理员首先对外围网络进行身份验证，然后才能“跳转”访问 Redis Enterprise 的管理路径。
集群内部网络：最后，确保您的 Redis Enterprise 集群受到保护，以便其节点可以通过未暴露给集群“墙”后面的其他服务的内部网络进行通信。这种分离确保通过复制移动的数据和节点之间敏感的管理通信不会暴露给集群节点以外的任何人。

使用 Redis Enterprise 进行身份验证和授权
在 Redis Enterprise 安全模型中，管理访问路径和数据访问路径被分离到两个独立的通道中。这意味着在授权和身份验证方面，存在不同的路径。

管理身份验证和授权
管理员使用管理帐户对 UI、REST API 或 CLI 进行身份验证。管理身份也可以绑定到中央帐户管理系统，如 LDAP 存储。您可以在此处了解有关如何在 Redis Enterprise 中配置基于 LDAP 的帐户的更多信息 here。

Redis Enterprise 将管理访问权限限制为一组端口，这些端口可以使用额外的操作系统级机制（如 IPTables、防火墙等）进行保护。

Redis Enterprise 提供基于角色的访问控制 (RBAC)。系统中的每个管理身份还分配给内置角色之一。您可以在此处找到可用的 Redis Enterprise 角色列表 here。

数据访问身份验证和授权
访问数据的应用程序使用应用程序密码和证书对数据库端点进行身份验证。当启用基于证书的身份验证和密码时，应用程序需要提供这两个身份验证因素才能连接到数据库。

对于多租户系统，每个租户可以通过为每个数据库分配唯一的密码和证书，将其隔离为只能访问系统中的一部分数据库。

源 IP 过滤是控制数据访问的另一种方式。使用 Redis Enterprise 云和 Redis Enterprise VPC，管理员可以使用 IP 过滤限制允许连接到数据库的应用程序服务器节点。这确保只有来自给定源 IP 的应用程序服务器才能对数据库进行身份验证。

使用 Redis Enterprise 进行加密
Redis Enterprise 为数据在传输中（数据在传输中）和数据在磁盘上（数据在存储中）提供内置加密功能。

数据在传输中的加密
可以为数据在传输中启用基于 TLS/SSL 的加密。

管理路径通信：UI、CLI 和 REST API 访问使用 SSL 加密。
数据路径通信：应用程序的数据访问使用 SSL 加密。
节点到节点通信：使用节点之间的 IPSec 加密。
使用副本和 CRDB 的跨集群通信：使用 SSL 或（更常见的是）集群之间的 VPN（虚拟专用网络）加密。

数据在存储中的加密
数据在存储中的加密也可以在 Redis Enterprise VPC 中通过一个简单的复选框启用。在 Redis Enterprise 软件中，管理员可以使用 Linux 操作系统上提供的透明文件系统加密功能对数据在存储中进行加密。

使用 Redis Enterprise 进行取证和事件日志记录
Redis Enterprise 提供一套详细的日志、警报和跟踪工具，以帮助跟踪管理操作，从拓扑更改到集群设置的修改。

Redis Enterprise 提供警报以实时跟踪事件，并提供统计信息以跟踪实时和历史趋势，这些趋势可以汇总到集群和数据库级别，也可以在节点和分片级别跟踪。系统中的管理员可以查看长达 12 个月的窗口的数据。

使用 Redis Enterprise DBaaS 选项实现安全合规性和控制
Redis 在公共云平台上提供 Redis Enterprise 平台作为托管服务。Redis Enterprise DBaaS 提供了可以帮助简化公共云中安全标准合规性的拓扑。客户可以获得两种类型的部署模型

Redis Enterprise 云运行在 Redis 的计算环境中。运行 RC 的客户从 Redis 购买计算资源和数据库管理服务，作为一项服务。您可以在此处找到有关 Redis Enterprise 云的详细信息 here。

图：Redis 云部署模型。Redis Enterprise 运行在 Redis 的云帐户下。

Redis Enterprise VPC 运行在客户的云计算环境中。运行 REV 的客户利用自己的计算资源，同时从 Redis 获得数据库管理服务的全部优势。此模型帮助客户实现完全隔离，简化了希望保持对自身数据和基础设施所有权的客户的合规性。访问 Redis 查找有关 Redis Enterprise VPC 的详细信息。

图：Redis Enterprise VPC 部署模型。Redis Enterprise 运行在客户的云帐户下。

我们只是触及了 Redis Enterprise 提供的众多安全控制措施的表面。如果您想深入了解安全最佳实践，您可以加入网络广播这里。

想了解更多关于幽灵和熔断漏洞的信息？请访问我们关于该主题的帖子这里。