歡迎大家前往騰訊雲+社區,獲取更多騰訊海量技術實踐乾貨哦~
本文由騰訊雲數據庫 TencentDB 發表於雲+社區專欄
9月10日下午,又一起規模化利用Redis未授權訪問漏洞×××數據庫的事件發生,此次×××以勒索錢財作爲第一目的,猖狂至極,×××者赤裸裸威脅,直接刪除數據庫數據。騰訊雲安全系統在×××開始不到30s就啓動全網攔截。
早在2017年,騰訊雲就針對該高危漏洞發佈過預警,但是仍有不少用戶未進行安全加固。騰訊雲安全專家提醒用戶參考文末方法,儘快安全漏洞修復或部署防禦。避免因被×××,造成整個服務器的程序和數據被刪除,數據難以恢復,從而影響業務發展。
在Redis被勒索麪前,我們能做什麼?乖乖地交贖金嗎?騰訊雲數據庫團隊通過分析勒索軟件的×××原理,結合多年數據庫安全防護的深厚經驗積累,制定出事前、事中、事後全方位的Redis防勒索病毒防護方案。
一、做好數據庫×××的事前預防:
- 做好權限管理:雲計算廠商一般都會提供訪問控制(Cloud Access Management,CAM)的Web服務,主要用於幫助客戶安全管理賬戶下的資源的訪問權限。通過 CAM 創建、管理和銷燬用戶(組),並使用身份管理和策略管理控制其他用戶使用雲資源的權限。對於密級較高的數據,也可以採用密鑰管理服務(Key Management Service)來進行加密。
- 自定義專屬私有網絡( VPC ):目前雲計算廠商均會提供私有網絡訪問,在雲上自定義的邏輯隔離網絡空間。私有網絡下的實例可被啓動在預設的、自定義的網段下,與其他雲租戶相互隔離。
- 利用安全組控制訪問權限:安全組是一種有狀態的包含過濾功能的虛擬防火牆,用於設置單臺或多臺服務器的網絡訪問控制,運維人員需要控制好相應機器的訪問列表,嚴格控制安全組的訪問列表。
二、加強數據庫×××的事中防護:
- 做好多重認證信息:做好密碼的強認證,強制要求數據庫密碼的複雜度,防止被×××暴力破解;針對高危的操作,如flashdb、flash all操作做好權限控制禁止,添加短信密碼的認證,當然這塊的開發成本也是非常高昂。
- 加強數據通信加密:有條件的可以採取 IPsec ×××數據通道加密,或者使用SSL的傳輸加密,當然要承擔30%左右的性能損失。
三、做好事後審查糾正:
- 備份:持續數據保護、日備份、周備份
- 容災:自動容災、數據同步。主機故障後,服務秒級切換到備機,服務切換不影響線上業務
一旦***行爲發生,除了採取必要措施進行數據容災恢復、封堵。我們我們需要容災恢復方案,順利將數據庫恢復到被***前的時間點,再結合安全產品,確保系統堅不可摧,我們需要一個詳細的審計日誌的記錄和存儲,就是回溯和確認×××源頭,還原惡意行爲的蛛絲馬跡,查出”對手”的詳細信息以及準確的損失評估,便於後面的長期預防和業務止血。
講了這麼多,想做好上述詳細的Redis安全防護,需要投入大量的開發及DBA同學進行長期的建設,而同時業務又要快速奔跑,折煞相關的管理人員。好在我們生活在雲計算的美好時代,騰訊雲數據庫Redis可以幫我們解決燃眉之急。騰訊雲數據庫Redis基於騰訊雲安全體系,提供防火牆,帳號安全、訪問控制、***防禦、隔離、備份恢復等多重安全機制,保護用戶數據安全,讓騰訊雲的企業時刻都能安心於自身的業務拓展。如需瞭解關於騰訊雲數據庫Redis的更多信息,請訪問。
騰訊雲安全通知: 【安全預警】關於Redis未授權訪問漏洞客戶修復通知
問答
redis有備份嗎?
相關閱讀
如何防範和應對Redis勒索,騰訊雲教你出招
騰訊雲數據庫MySQL遊戲行業數據安全實踐分享
CynosDB for PostgreSQL 架構淺析
【每日課程推薦】機器學習實戰!快速入門在線廣告業務及CTR相應知識
此文已由作者授權騰訊雲+社區發佈,更多原文請點擊
搜索關注公衆號「雲加社區」,第一時間獲取技術乾貨,關注後回覆1024 送你一份技術課程大禮包!
海量技術實踐經驗,盡在雲加社區!