“這是一場(chǎng)可預(yù)見(jiàn)的噩夢(mèng)！” ???

近期，黑客通過(guò)攻擊亞洲最大兩家數(shù)據(jù)中心—萬(wàn)國(guó)數(shù)據(jù)和新科電信媒體，獲取國(guó)際巨頭企業(yè)的登錄憑證，引發(fā)了2000多家企業(yè)史詩(shī)級(jí)數(shù)據(jù)泄露。中國(guó)作為全球第二大托管服務(wù)市場(chǎng)，尤其應(yīng)當(dāng)警惕威脅，即刻做出預(yù)控措施，應(yīng)對(duì)風(fēng)險(xiǎn)！

數(shù)據(jù)安全問(wèn)題的重要性不言而喻，特別是對(duì)于企業(yè)團(tuán)隊(duì)來(lái)說(shuō)，保護(hù)公司數(shù)據(jù)安全更是首要任務(wù)。虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù)正在不斷努力升級(jí)產(chǎn)品的安全性！在虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù)6.4.2中，對(duì)其現(xiàn)有的安全功能進(jìn)行了強(qiáng)化：新增客戶(hù)端證書(shū)和發(fā)布/訂閱訪(fǎng)問(wèn)管理兩大功能！使其在符合法規(guī)和行業(yè)要求的前提下，成為企業(yè)的最強(qiáng)助攻擔(dān)當(dāng)，為企業(yè)提供更多的便利和服務(wù)。

那么問(wèn)題來(lái)了：“虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù)這次為何著重突出這兩項(xiàng)功能的升級(jí)，它又憑什么能為企業(yè)實(shí)現(xiàn)數(shù)據(jù)安全疊加最強(qiáng)Buff？”別著急，虹科來(lái)為你一一解答！

一. 帶有subject驗(yàn)證的雙向TLS身份驗(yàn)證

1. 傳輸層安全性（TLS）

傳輸層安全性( TLS )是一種加密協(xié)議，TLS被互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force, IETF)描述為“互聯(lián)網(wǎng)的核心安全協(xié)議”，目的是為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障。具體表現(xiàn)為：

(1) TLS協(xié)議采用主從式架構(gòu)模型。該模型被廣泛應(yīng)用于保護(hù)計(jì)算機(jī)應(yīng)用程序間的通信：在兩個(gè)應(yīng)用程序間透過(guò)網(wǎng)絡(luò)創(chuàng)建安全的連線(xiàn)，來(lái)防止數(shù)據(jù)在交換時(shí)受到竊聽(tīng)和篡改。

(2) TLS使用一種叫做公鑰加密的技術(shù)運(yùn)作。它依賴(lài)于一對(duì)密鑰（公鑰和私鑰），任何用公鑰加密的內(nèi)容，都只能用私鑰來(lái)解密。如果服務(wù)器解密了用公鑰加密的信息，就證明它擁有私鑰，公鑰可以讓任何人通過(guò)域或服務(wù)器的TLS證書(shū)來(lái)查看。

2. Mutual TLS (mTLS)

Mutual TLS (mTLS)，是一種用于雙向驗(yàn)證身份的方法：

(1) mTLS是在會(huì)話(huà)開(kāi)始，TSL進(jìn)行握手時(shí)，服務(wù)器與客戶(hù)端互相提供交換證 ? ?書(shū)，通過(guò)證書(shū)頒發(fā)機(jī)構(gòu)來(lái)彼此驗(yàn)證身份，認(rèn)證通過(guò)方可進(jìn)行通信的過(guò)程。

(2) 使用mTLS的必要性：

首先，它為登錄到團(tuán)隊(duì)網(wǎng)絡(luò)或應(yīng)用程序的用戶(hù)提供了一層額外的安全保護(hù)。其次，它還可以驗(yàn)證與不遵循登錄過(guò)程的客戶(hù)端之間的鏈接。最重要的是，它可以防止：在途攻擊、欺騙攻擊、憑證填充、暴力攻擊、網(wǎng)絡(luò)釣魚(yú)攻擊、惡意API請(qǐng)求等各類(lèi)型攻擊。

另外，對(duì)于日常用途，單向身份驗(yàn)證提供了足夠的保護(hù)。但在單個(gè)或較小的團(tuán)隊(duì)規(guī)模上，mTLS還是非常實(shí)用的。尤其是為在保持API的安全上，mTLS通常被用于零信任安全框架，由于零信任方法默認(rèn)不信任任何用戶(hù)、設(shè)備或請(qǐng)求，因此團(tuán)隊(duì)必須能夠在每次嘗試訪(fǎng)問(wèn)網(wǎng)絡(luò)中的任何時(shí)間對(duì)每個(gè)用戶(hù)、設(shè)備和請(qǐng)求進(jìn)行身份驗(yàn)證。mTLS剛好能夠通過(guò)驗(yàn)證用戶(hù)和驗(yàn)證設(shè)備來(lái)實(shí)現(xiàn)這一點(diǎn)。

(3) 在虹科Redis企業(yè)版數(shù)據(jù)庫(kù)中，可以將其配置為使用mTLS。此時(shí)，如果客戶(hù)端試圖連接到數(shù)據(jù)庫(kù)，Redis企業(yè)版數(shù)據(jù)庫(kù)就會(huì)在TLS握手期間驗(yàn)證客戶(hù)端的證書(shū)之后，再允許它連接到數(shù)據(jù)庫(kù)。

但如果多個(gè)客戶(hù)端都獲得了有效的客戶(hù)端證書(shū)，而您只想允許他們中的部分人訪(fǎng)問(wèn)某個(gè)數(shù)據(jù)庫(kù)時(shí)，就是我們虹科Redis企業(yè)版數(shù)據(jù)庫(kù)6.4.2新功能（額外的證書(shū)驗(yàn)證）上場(chǎng)的時(shí)刻啦！從6.4.2版開(kāi)始，虹科Redis企業(yè)版數(shù)據(jù)庫(kù)是允許您對(duì)經(jīng)過(guò)身份驗(yàn)證的客戶(hù)端證書(shū)執(zhí)行其他驗(yàn)證的：

（1）使用公鑰證書(shū)的subject字段。其中包含了有關(guān)證書(shū)所屬客戶(hù)端身份的附加信息?；诖?，在允許客戶(hù)端連接到數(shù)據(jù)庫(kù)之前，虹科Redis企業(yè)版數(shù)據(jù)庫(kù)會(huì)執(zhí)行兩個(gè)步驟：

1) 該證書(shū)以加密方式進(jìn)行身份驗(yàn)證。

2）將證書(shū)的subject信息與數(shù)據(jù)庫(kù)配置的允許subject列表進(jìn)行比較，僅當(dāng)找到匹配項(xiàng)時(shí)才允許連接。

例如，一個(gè)使用Redis企業(yè)版數(shù)據(jù)庫(kù)的國(guó)家大型金融機(jī)構(gòu)，希望根據(jù)客戶(hù)端證書(shū)來(lái)控制客戶(hù)可以訪(fǎng)問(wèn)的特定數(shù)據(jù)庫(kù)。他們的客戶(hù)都使用有效的客戶(hù)證書(shū)，但具有不同的subject值。一旦為數(shù)據(jù)庫(kù)開(kāi)啟“附加證書(shū)驗(yàn)證”選項(xiàng)，并正確配置允許的subject列表后，該機(jī)構(gòu)現(xiàn)在就可以控制特定客戶(hù)端證書(shū)子集來(lái)訪(fǎng)問(wèn)對(duì)應(yīng)數(shù)據(jù)庫(kù)。

（2）在虹科Redis企業(yè)版數(shù)據(jù)庫(kù)中使用mTLS涉及幾個(gè)步驟：

1）為數(shù)據(jù)庫(kù)開(kāi)啟TLS和mTLS選項(xiàng)；

2）加載數(shù)據(jù)庫(kù)的相關(guān)證書(shū)頒發(fā)機(jī)構(gòu)(CA)根證書(shū)或中間證書(shū)；

3）添加允許的subject行列表；

4）選擇“按完整subject進(jìn)行的其他證書(shū)驗(yàn)證”選項(xiàng)。

二．強(qiáng)化Redis ACL發(fā)布/訂閱的訪(fǎng)問(wèn)管理功能

發(fā)布/訂閱（pub/sub）是一種允許間接通信的消息傳遞方法?？蛻?hù)端或應(yīng)用程序可以向共享資源端發(fā)布消息，其他客戶(hù)端或應(yīng)用程序也可以訂閱該資源來(lái)接收這些消息。

在虹科Redis企業(yè)版數(shù)據(jù)庫(kù)中，我們把這種資源稱(chēng)為通道，它提供了一種快速、輕量和可擴(kuò)展的解決方案。發(fā)布/訂閱頻道和廣播電臺(tái)的運(yùn)作模式相似，企業(yè)需要連接之后才能接收消息。發(fā)布/訂閱頻道的同步性使得實(shí)時(shí)通知、在微服務(wù)之間發(fā)送消息、在應(yīng)用程序的不同部分之間進(jìn)行通信成為可能。

值得注意的是，這些資源顯然是需要得到軟件保護(hù)的：

（1）訪(fǎng)問(wèn)控制列表（ACL）一個(gè)規(guī)則列表，其中的每條規(guī)則都對(duì)資源或操作的訪(fǎng)問(wèn)權(quán)限授予或拒絕。ACL是團(tuán)隊(duì)限制未授權(quán)用戶(hù)訪(fǎng)問(wèn)敏感業(yè)務(wù)信息，或執(zhí)行未授權(quán)操作的強(qiáng)大工具。

為滿(mǎn)足用戶(hù)的需求，Redis企業(yè)版數(shù)據(jù)庫(kù)正在不斷增強(qiáng)其ACL功能和覆蓋范圍。隨著Redis企業(yè)版數(shù)據(jù)庫(kù)6.4.2的發(fā)布，ACL現(xiàn)在可以允許和禁止訪(fǎng)問(wèn)發(fā)布/訂閱頻道。

（2）送到頻道的無(wú)效消息會(huì)破壞應(yīng)用程序。它可能會(huì)導(dǎo)致數(shù)據(jù)損壞、數(shù)據(jù)丟失甚至中斷。通過(guò)限制所有訪(fǎng)問(wèn)權(quán)限，并僅允許相關(guān)用戶(hù)訪(fǎng)問(wèn)特定頻道，這樣可以減少無(wú)論是出于惡意還是無(wú)意，被限制訪(fǎng)問(wèn)或發(fā)送消息這兩種情況被執(zhí)行的機(jī)會(huì)。

（3）資源保護(hù)的方法主要有兩種：

1) 是隱式訪(fǎng)問(wèn)：客戶(hù)可以訪(fǎng)問(wèn)所有內(nèi)容，并設(shè)置權(quán)限以限制訪(fǎng)問(wèn)。就好像：任何人都可以進(jìn)入一家餐館，除非被餐館老板列入了黑名單禁止入內(nèi)。

2）顯式授予：除非客戶(hù)被顯式授予權(quán)限，否則無(wú)權(quán)訪(fǎng)問(wèn)。就比如：如果沒(méi)有通過(guò)安檢和機(jī)場(chǎng)工作人員驗(yàn)證機(jī)票，一般無(wú)法登上飛機(jī)。當(dāng)然，這種資產(chǎn)保護(hù)的方法更安全。

(4）虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù)所采用的方法：除了允許使用ACL的渠道，選擇限制所有發(fā)布/訂閱渠道。目前，在虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù) 6.4.2中，可以通過(guò)配置適用于所有數(shù)據(jù)庫(kù)通道的集群范圍默認(rèn)選項(xiàng)，來(lái)達(dá)到這個(gè)目的。

為了避免更改過(guò)于極端及符合以前的版本，虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù)6.4.2安裝提供的 acl-pubsub-default 值也是被所有頻道允許的。一旦集群中的所有數(shù)據(jù)庫(kù)都處于Redis版本6.4.2（或未來(lái)版本中的更高版本）中，我們建議將此值設(shè)置為“restrictive”（resetchannels）。

另外，如果是正在使用ACL和發(fā)布/訂閱渠道，建議檢查數(shù)據(jù)庫(kù)和ACL設(shè)置并切換到受限模式，因?yàn)檫@將是未來(lái)虹科Redis企業(yè)版數(shù)據(jù)庫(kù)中 acl-pubsub-default 的新默認(rèn)值。

三. 更多功能優(yōu)勢(shì)：節(jié)省時(shí)間和資源

盡管虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù)6.4.2的突出重點(diǎn)是上述安全功能。但新添功能絕不止于此！

1.生成自簽名證書(shū)

虹科Redis企業(yè)版數(shù)據(jù)庫(kù)提供自簽名TLS證書(shū)，從而允許不使用受信任的CA簽名證書(shū)的客戶(hù)也可以安全使用。但注意，自簽名證書(shū)默認(rèn)有效期為一年，所以建議客戶(hù)在其過(guò)期前及時(shí)更新這些證書(shū)。

另外，虹科Redis企業(yè)版數(shù)據(jù)庫(kù)現(xiàn)在還提供了一個(gè)用戶(hù)友好的腳本，客戶(hù)不需要事先了解這些，也能快速輕松地創(chuàng)建新的一次性自簽名證書(shū)。在此之后也只需通過(guò)幾個(gè)簡(jiǎn)單的步驟就能將這些證書(shū)加載到Redis企業(yè)版數(shù)據(jù)庫(kù)中。

2.服務(wù)靈活選擇

眾所周知，Redis企業(yè)版數(shù)據(jù)庫(kù)提供的服務(wù)豐富多樣，但有時(shí)它們也不是全部被需要的。虹科Redis企業(yè)版數(shù)據(jù)庫(kù)提供了刪除服務(wù)工具，借此可以節(jié)省內(nèi)存資源，并為更有價(jià)值的服務(wù)騰出空間。

虹科Redis企業(yè)版數(shù)據(jù)庫(kù)還添加了禁用警報(bào)管理器的功能，用以發(fā)送電子郵件警報(bào)：rladmin cluster config alert_mgr [<enabled | disabled>

但如果擁有替代警報(bào)系統(tǒng)，則也許此服務(wù)會(huì)被禁用。建議謹(jǐn)慎使用此功能。

借助虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù)6.4.2，可以更快、更高效、更靈活的創(chuàng)建應(yīng)用程序。最重要的是，對(duì)用戶(hù)的整個(gè)創(chuàng)建過(guò)程都是安全的，這也是Redis企業(yè)版數(shù)據(jù)庫(kù)6.4.2誕生的意義所在！

虹科Redis企業(yè)版軟件（Redis Enterprise）是企業(yè)級(jí)的數(shù)據(jù)庫(kù)軟件，也是一款實(shí)時(shí)數(shù)據(jù)平臺(tái)，為全球超過(guò)8500家知名企業(yè)提供實(shí)時(shí)數(shù)據(jù)服務(wù)。具有線(xiàn)性可擴(kuò)展性、高可用性、持久性、備份和恢復(fù)、地理分布、分層內(nèi)存訪(fǎng)問(wèn)、多租戶(hù)、安全性等8大核心功能、擁有RediSearch、RedisJSON等7大【Redis企業(yè)版特有模塊】，可以任何規(guī)模在云、本地和混合部署中運(yùn)行現(xiàn)代應(yīng)用程序，提供無(wú)服務(wù)器、多模型的數(shù)據(jù)庫(kù)解決方案。Redis企業(yè)版的核心優(yōu)勢(shì)是采用Redis on flash分層存儲(chǔ)技術(shù)即【內(nèi)存+閃存+磁盤(pán)】的存儲(chǔ)方式，其Active-Active地理分布式架構(gòu)允許跨地理位置同時(shí)進(jìn)行數(shù)據(jù)讀寫(xiě)操作、擁有亞毫秒延遲和極高吞吐量。

提問(wèn)：

1.“你的企業(yè)在數(shù)據(jù)安全保護(hù)方面最大的難題是什么？

2.“你對(duì)本次黑客攻擊，兩大亞洲數(shù)據(jù)中心大規(guī)模泄露有什么理解和想法呢？”

虹科是Redis企業(yè)版數(shù)據(jù)庫(kù)的中國(guó)區(qū)戰(zhàn)略合作伙伴，虹科持續(xù)關(guān)注各行業(yè)當(dāng)下急切需求，專(zhuān)注于為企業(yè)解答疑問(wèn)，制定專(zhuān)屬服務(wù)，提供一站式解決方案，虹科提供的Redis企業(yè)版數(shù)據(jù)庫(kù)是無(wú)數(shù)企業(yè)數(shù)據(jù)安全保護(hù)路上的最佳合作選擇！為企業(yè)的數(shù)據(jù)安全保駕護(hù)航！

點(diǎn)贊收藏轉(zhuǎn)發(fā)！關(guān)于企業(yè)如何更好地實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)有任何其他疑問(wèn)，歡迎在評(píng)論區(qū)進(jìn)行交流或者聯(lián)系我們！