Redis 8 来了——而且它是开源的
了解更多
最后更新:2025 年 3 月 20 日
本文档包含适用于您使用 Redis Cloud Services(“云服务”)的技术和组织安全措施(“措施”)。在本文档中,术语 “您” 或 “您的” 指的是 Redis Cloud 客户,而 “我们” 或 “我们的” 指的是 Redis。您同意适用于您的 Redis Cloud Services 的以下措施,这些措施构成了您使用 Redis Cloud Services 的服务条款、适用的已签署协议或与 Redis 的数据处理协议(“协议”)的一部分。
关于本地部署软件的重要说明。如果您正在使用其他产品,例如您自行部署的 Redis Software,请参阅适用的 Redis Software – 安全文档,因为本文档中包含的措施可能不适用,除非您的组织也遵循这些措施,并且您在部署 Redis Software 时启用了适当的安全配置。
1.1. 书面信息安全计划。Redis 维护一份书面信息安全计划,该计划符合适用的数据保护法律。该计划考虑了适当的管理、技术和物理保障措施,旨在提供与处理所带来的风险以及待保护数据的性质相适应的安全级别。
1.2. 审计控制。Redis 使用独立的第三方机构进行与安全控制相关的审计。每年至少进行一次审计,由独立、信誉良好的第三方机构根据调查准备 SSAE 18 Type II,特别是 SOC 2 Type II 合规报告和认证(“SOC 2”)。SOC 2 的范围将涵盖可用性、安全性、隐私、处理完整性、灾难恢复、备份和应急计划及系统以及保密性的证明(如适用)。根据您的书面请求,Redis 将向您提供该报告的副本(请注意该报告具有保密性质)。
1.3.访问控制。对云基础设施的访问受到严格控制并定期审计。只有经授权的 Redis 团队成员才能按需访问云基础设施,并且访问由多种因素控制。Redis 利用行业标准措施,例如逻辑和物理安全访问控制、基于角色的最小权限以及旨在保护数据免遭未经授权访问的强大认证机制。
1.4. 软件开发生命周期。Redis 使用行业标准的软件开发生命周期(“SDLC”)来管理信息系统,该生命周期整合了信息安全考量,定义并记录了整个 SDLC 中的信息安全角色和职责,确定了承担这些角色或职责的个人,并将 Redis 的信息安全风险管理流程整合到 SDLC 活动中。Redis 的 SDLC 策略包括内部安全测试、第三方渗透测试以及根据风险的关键性、缓解措施和利用可能性对测试中发现的问题进行优先排序的流程。
1.5. 数据完整性。对于 Redis Cloud 客户,逻辑分离是一种用于隔离和保护数据的措施。传输层安全 (TLS) 使用加密来保护传输中的数据免遭未经授权的访问。Redis 强烈建议您在所有 Redis 数据库上启用 TLS。此外,Redis 支持在启用持久性时对所有云提供商的数据进行静态加密。Redis 利用行业标准加密以及主要云提供商提供的原生加密密钥管理服务。
2.1. 漏洞通知。Redis 利用技术工具通过向我们的安全团队发出异常活动警报来提供帮助。如果 Redis 发现或收到已影响您的数据或可能导致数据渗漏、未经授权修改或以其他方式影响数据完整性的安全漏洞通知,Redis 将 (i) 及时以书面形式(通常为加快速度通过电子邮件)通知您安全漏洞,通知时间不得晚于 Redis 能够合理识别和调查安全漏洞后的 72 小时,或 Redis 收到该安全漏洞已直接影响您的数据通知后的 72 小时。Redis 将与您合作,提供有关其调查结果的适用信息,以及您可能合理要求的其他信息。有关 Redis Cloud 高可用性的信息,请访问我们的 Redis 运营状态页面。
2.2. 安全测试。不同类型的安全测试旨在实现不同的结果。我们的方法是使用最合适的方法来实现正确的结果。Redis 进行许多不同的活动,包括:渗透测试、红队测试、代码审查和漏洞扫描。
2.3. 漏洞披露计划。Redis 认为,与安全研究社区的积极合作是保护支持我们全球 Redis 爱好者社区的软件和基础设施的重要组成部分。Redis 社区的研究在帮助我们发现意外的攻击媒介或潜在的盲点方面发挥着至关重要的作用。访问我们在 HackerOne 上的漏洞披露计划,并成为积极参与者。
2.4. 供应链监控。我们认识到供应链风险是一种威胁,我们已制定适当的流程来确保它们符合我们承诺的安全标准。我们的每个第三方提供商都经过彻底审查,以确保所提供服务的安全性。
2.5. 云安全监控和响应。我们利用各种技术和方法来监控 Redis Cloud 的安全性,包括云资源的配置和操作。对 Redis Cloud 中的活动进行监控,以寻找网络安全威胁的迹象。如果检测到网络安全威胁,Redis 将使用所有可用的技术和工具快速分类、分析并响应该威胁。
3.1. 共享责任。云服务的某些方面必须由您根据贵组织的需求进行配置。例如,作为客户,您负责 Redis 数据库和 Redis Cloud Services 管理控制台中的安全配置。您同意您已阅读并理解 Redis Cloud 共享责任模型文档,该文档可在以下网址获取: https://redis.ac.cn/docs/latest/operate/rc/security/shared-responsibility-model/。
3.2. 安全文档。通过使用云服务,您同意在配置和部署 Redis Cloud 时遵循最佳实践,并遵循可在以下网址获取的云服务安全最佳实践: https://redis.ac.cn/docs/latest/operate/rc/security/(“安全文档”)。
