歡迎大家前往騰訊雲+社群,獲取更多騰訊海量技術實踐乾貨哦~
本文由騰訊雲資料庫 TencentDB 發表於雲+社群專欄
9月10日下午,又一起規模化利用Redis未授權訪問漏洞攻擊資料庫的事件發生,此次黑客以勒索錢財作為第一目的,猖狂至極,攻擊者赤裸裸威脅,直接刪除資料庫資料。騰訊雲安全系統在攻擊開始不到30s就啟動全網攔截。
早在2017年,騰訊雲就針對該高危漏洞釋出過預警,但是仍有不少使用者未進行安全加固。騰訊雲安全專家提醒使用者參考文末方法,儘快安全漏洞修復或部署防禦。避免因被攻擊,造成整個伺服器的程式和資料被刪除,資料難以恢復,從而影響業務發展。
在Redis被勒索麵前,我們能做什麼?乖乖地交贖金嗎?騰訊雲資料庫團隊通過分析勒索軟體的攻擊原理,結合多年資料庫安全防護的深厚經驗積累,制定出事前、事中、事後全方位的Redis防勒索病毒防護方案。
一、做好資料庫攻擊的事前預防:
- 做好許可權管理:雲端計算廠商一般都會提供訪問控制(Cloud Access Management,CAM)的Web服務,主要用於幫助客戶安全管理賬戶下的資源的訪問許可權。通過 CAM 建立、管理和銷燬使用者(組),並使用身份管理和策略管理控制其他使用者使用雲資源的許可權。對於密級較高的資料,也可以採用金鑰管理服務(Key Management Service)來進行加密。
- 自定義專屬私有網路( VPC ):目前雲端計算廠商均會提供私有網路訪問,在雲上自定義的邏輯隔離網路空間。私有網路下的例項可被啟動在預設的、自定義的網段下,與其他雲租戶相互隔離。
- 利用安全組控制訪問許可權:安全組是一種有狀態的包含過濾功能的虛擬防火牆,用於設定單臺或多臺伺服器的網路訪問控制,運維人員需要控制好相應機器的訪問列表,嚴格控制安全組的訪問列表。
二、加強資料庫攻擊的事中防護:
- 做好多重認證資訊:做好密碼的強認證,強制要求資料庫密碼的複雜度,防止被黑客暴力破解;針對高危的操作,如flashdb、flash all操作做好許可權控制禁止,新增簡訊密碼的認證,當然這塊的開發成本也是非常高昂。
- 加強資料通訊加密:有條件的可以採取 IPsec VPN資料通道加密,或者使用SSL的傳輸加密,當然要承擔30%左右的效能損失。
三、做好事後審查糾正:
- 備份:持續資料保護、日備份、周備份
- 容災:自動容災、資料同步。主機故障後,服務秒級切換到備機,服務切換不影響線上業務
一旦入侵行為發生,除了採取必要措施進行資料容災恢復、封堵。我們我們需要容災恢復方案,順利將資料庫恢復到被入侵前的時間點,再結合安全產品,確保系統堅不可摧,我們需要一個詳細的審計日誌的記錄和儲存,就是回溯和確認攻擊源頭,還原惡意行為的蛛絲馬跡,查出”對手”的詳細資訊以及準確的損失評估,便於後面的長期預防和業務止血。
講了這麼多,想做好上述詳細的Redis安全防護,需要投入大量的開發及DBA同學進行長期的建設,而同時業務又要快速奔跑,折煞相關的管理人員。好在我們生活在雲端計算的美好時代,騰訊雲資料庫Redis可以幫我們解決燃眉之急。騰訊雲資料庫Redis基於騰訊雲安全體系,提供防火牆,帳號安全、訪問控制、入侵防禦、隔離、備份恢復等多重安全機制,保護使用者資料安全,讓騰訊雲的企業時刻都能安心於自身的業務擴充。
騰訊雲資料庫Redis支援單機版、主從版和叢集版三種規格,低至12元/月,提供自動容災切換、資料備份、故障遷移、例項監控、線上擴容、資料回檔、安全等全套的資料庫服務。如需瞭解關於騰訊雲資料庫Redis的更多資訊,請訪問:cloud.tencent.com/product/crs…
騰訊雲安全通知: 【安全預警】關於Redis未授權訪問漏洞客戶修復通知
問答
相關閱讀
此文已由作者授權騰訊雲+社群釋出,更多原文請點選
搜尋關注公眾號「雲加社群」,第一時間獲取技術乾貨,關注後回覆1024 送你一份技術課程大禮包!
海量技術實踐經驗,盡在雲加社群!