虹科乾貨｜Redis企業版資料庫為企業「資料安全」疊加最強Buff！

         “這是一場可預見的噩夢！”     

近期，駭客透過攻擊亞洲最大兩家資料中心—萬國資料和新科電信媒體，獲取國際巨頭企業的登入憑證，引發了2000多家企業史詩級資料洩露。中國作為全球第二大託管服務市場，尤其應當警惕威脅，即刻做出預控措施，應對風險！

資料安全問題的重要性不言而喻，特別是對於企業團隊來說，保護公司資料安全更是首要任務。虹科提供的Redis企業版資料庫正在不斷努力升級產品的安全性！在 虹科 提供的 Redis企業版資料庫 6 . 4 . 2 中，對其現有的安全功能進行了強化：新增 客戶端證照 和 釋出 / 訂閱訪問管理 兩大功能 ！ 使其在符合法規和行業要求的前提下，成為企業的最強助攻擔當，為企業提供更多的便利和服務。

那麼問題來了：“虹科提供的Redis企業版資料庫這次為何著重突出這兩項功能的升級，它又憑什麼能為企業實現資料安全疊加最強Buff？”彆著急，虹科來為你一一解答！

一. 帶有subject驗證的雙向TLS身份驗證

1. 傳輸層安全性 （ TLS）

傳輸層安全性( TLS )是一種加密協議，TLS被網際網路工程任務組(Internet Engineering Task Force, IETF)描述為“網際網路的核心安全協議”，目的是為網際網路通訊提供安全及資料完整性保障。具體表現為：

(1) TLS協議採用主從式架構模型。該模型被廣泛應用於保護計算機應用程式間的通訊：在兩個應用程式間透過網路建立安全的連線，來防止資料在交換時受到竊聽和篡改。

(2) TLS使用一種叫做公鑰加密的技術運作。它依賴於一對金鑰（公鑰和私鑰），任何用公鑰加密的內容，都只能用私鑰來解密。如果伺服器解密了用公鑰加密的資訊，就證明它擁有私鑰，公鑰可以讓任何人透過域或伺服器的TLS證照來檢視。

2. Mutual TLS (mTLS)

Mutual TLS (mTLS)，是一種用於雙向驗證身份的方法：

(1) mTLS是在會話開始，TSL進行握手時，伺服器與客戶端互相提供交換證    書，透過證照頒發機構來彼此驗證身份，認證透過方可進行通訊的過程。

(2) 使用mTLS的必要性：

首先，它為登入到團隊網路或應用程式的使用者提供了一層額外的安全保護。其次，它還可以驗證與不遵循登入過程的客戶端之間的連結。最重要的是，它可以防止：在途攻擊、欺騙攻擊、憑證填充、暴力攻擊、網路釣魚攻擊、惡意API請求等各型別攻擊。

另外，對於日常用途，單向身份驗證提供了足夠的保護。但在單個或較小的團隊規模上，mTLS還是非常實用的。尤其是為在保持API的安全上，mTLS通常被用於零信任安全框架，由於零信任方法預設不信任任何使用者、裝置或請求，因此團隊必須能夠在每次嘗試訪問網路中的任何時間對每個使用者、裝置和請求進行身份驗證。mTLS剛好能夠透過驗證使用者和驗證裝置來實現這一點。

(3) 在虹科Redis企業版資料庫中，可以將其配置為使用mTLS。此時，如果客戶端試圖連線到資料庫，Redis企業版資料庫就會在TLS握手期間驗證客戶端的證照之後，再允許它連線到資料庫。

但如果多個客戶端都獲得了有效的客戶端證照，而您只想允許他們中的部分人訪問某個資料庫時，就是我們虹科Redis企業版資料庫6.4.2新功能（ 額外的證照驗證 ）上場的時刻啦！從6.4.2版開始，虹科Redis企業版資料庫是允許您對經過身份驗證的客戶端證照執行其他驗證的：

（ 1 ） 使用公鑰證照的 subject欄位 。 其中包含了有關證照所屬客戶端身份的附加資訊。基於此，在允許客戶端連線到資料庫之前，虹科Redis企業版資料庫會執行兩個步驟：

1) 該證照以加密方式進行身份驗證。

2）將證照的subject資訊與資料庫配置的允許subject列表進行比較，僅當找到匹配項時才允許連線。

例如，一個使用Redis企業版資料庫的國家大型金融機構，希望根據客戶端證照來控制客戶可以訪問的特定資料庫。他們的客戶都使用有效的客戶證照，但具有不同的subject值。一旦為資料庫開啟“附加證照驗證”選項，並正確配置允許的subject列表後，該機構現在就可以控制特定客戶端證照子集來訪問對應資料庫。

（ 2 ） 在 虹科 Redis企業版資料庫 中使用mTLS涉及幾個步驟：

1）為資料庫開啟TLS和mTLS選項；

2）載入資料庫的相關證照頒發機構(CA)根證照或中間證照；

3）新增允許的subject行列表；

4）選擇“按完整subject進行的其他證照驗證”選項。

二．強化Redis ACL釋出/訂閱的訪問管理功能

釋出/訂閱（pub/sub）是一種允許間接通訊的訊息傳遞方法。客戶端或應用程式可以向共享資源端釋出訊息，其他客戶端或應用程式也可以訂閱該資源來接收這些訊息。

在虹科Redis企業版資料庫中，我們把這種資源稱為通道，它提供了一種快速、輕量和可擴充套件的解決方案。釋出/訂閱頻道和廣播電臺的運作模式相似，企業需要連線之後才能接收訊息。釋出/訂閱頻道的同步性使得實時通知、在微服務之間傳送訊息、在應用程式的不同部分之間進行通訊成為可能。

值得注意的是，這些資源顯然是需要得到軟體保護的：

（1）訪問控制列表（ACL） 一個規則列表 ， 其中的每條規則都對資源或操作的訪問許可權授予或拒絕。ACL是團隊限制未授權使用者訪問敏感業務資訊，或執行未授權操作的強大工具。

為滿足使用者的需求，Redis企業版資料庫正在不斷增強其ACL功能和覆蓋範圍。隨著Redis企業版資料庫6.4.2的釋出，ACL現在可以允許和禁止訪問釋出/訂閱頻道。

（ 2 ） 送到 頻 道的無用訊息會 破壞 應用程式。 它可能會導致資料損壞、資料丟失甚至中斷。透過限制所有訪問許可權，並僅允許相關使用者訪問特定頻道，這樣可以減少無論是出於惡意還是無意，被限制訪問或傳送訊息這兩種情況被執行的機會。

（ 3 ） 資源保護 的 方法 主要有兩種 ：

1) 是隱式訪問：客戶可以訪問所有內容，並設定許可權以限制訪問。就好像：任何人都可以進入一家餐館，除非被餐館老闆列入了黑名單禁止入內。

2）顯式授予：除非客戶被顯式授予許可權，否則無權訪問。就比如：如果沒有透過安檢和機場工作人員驗證機票，一般無法登上飛機。當然，這種資產保護的方法更安全。

(4）虹科提供的 Redis 企業版資料庫 所採用的方法： 除了允許使用ACL的渠道，選擇限制所有釋出/訂閱渠道。目前，在虹科提供的Redis企業版資料庫 6.4.2中，可以透過配置適用於所有資料庫通道的叢集範圍預設選項，來達到這個目的。

為了避免更改過於極端及符合以前的版本，虹科提供的Redis企業版資料庫6.4.2安裝提供的 acl-pubsub-default 值也是被所有頻道允許的。一旦叢集中的所有資料庫都處於Redis版本6.4.2（或未來版本中的更高版本）中，我們建議將此值設定為“restrictive”（resetchannels）。

另外，如果是正在使用ACL和釋出/訂閱渠道，建議檢查資料庫和ACL設定並切換到受限模式，因為這將是未來虹科Redis企業版資料庫中 acl-pubsub-default 的新預設值。

三. 更多功能優勢：節省時間和資源

儘管虹科提供的Redis企業版資料庫6.4.2的突出重點是上述安全功能。但新添功能絕不止於此！

1.生成自簽名證照

虹科Redis企業版資料庫提供自簽名TLS證照，從而允許不使用受信任的CA簽名證照的客戶也可以安全使用。但注意，自簽名證照預設有效期為一年，所以建議客戶在其過期前及時更新這些證照。

另外，虹科Redis企業版資料庫現在還提供了一個使用者友好的指令碼，客戶不需要事先了解這些，也能快速輕鬆地建立新的一次性自簽名證照。在此之後也只需透過幾個簡單的步驟就能將這些證照載入到Redis企業版資料庫中。

2 .服務靈活選擇

眾所周知，Redis企業版資料庫提供的服務豐富多樣，但有時它們也不是全部被需要的。虹科Redis企業版資料庫提供了刪除服務工具，藉此可以節省記憶體資源，併為更有價值的服務騰出空間。

虹科Redis企業版資料庫還新增了禁用警報管理器的功能，用以傳送電子郵件警報：rladmin cluster config alert_mgr [<enabled | disabled>

但如果擁有替代警報系統，則也許此服務會被禁用。建議謹慎使用此功能。

藉助虹科提供的Redis企業版資料庫6.4.2，可以更快、更高效、更靈活的建立應用程式。最重要的是，對使用者的整個建立過程都是安全的，這也是Redis企業版資料庫6.4.2誕生的意義所在！

虹科Redis企業版軟體（Redis Enterprise）是企業級的資料庫軟體，也是一款實時資料平臺，為全球超過8500家知名企業提供實時資料服務。具有線性可擴充套件性、高可用性、永續性、備份和恢復、地理分佈、分層記憶體訪問、多租戶、安全性等8大核心功能、擁有RediSearch、RedisJSON等7大【Redis企業版特有模組】，可以任何規模在雲、本地和混合部署中執行現代應用程式，提供無伺服器、多模型的資料庫解決方案。Redis企業版的核心優勢是採用Redis on flash分層儲存技術即【記憶體+快閃記憶體+磁碟】的儲存方式，其Active-Active地理分散式架構允許跨地理位置同時進行資料讀寫操作、擁有亞毫秒延遲和極高吞吐量。

提問：

1.“你的企業在資料安全保護方面最大的難題是什麼？

2.“你對本次駭客攻擊，兩大亞洲資料中心大規模洩露有什麼理解和想法呢？”

虹科是Redis企業版資料庫的中國區戰略合作伙伴 ，虹科持續關注各行業當下急切需求，專注於為企業解答疑問，制定專屬服務，提供一站式解決方案，虹科提供的Redis企業版資料庫是無數企業資料安全保護路上的合作選擇！為企業的資料安全保駕護航！

點贊收藏轉發！ 關於企業如何更好地實現資料安全保護有任何其他疑問，歡迎在評論區進行交流或者聯絡我們！