漏洞預(yù)警！騰訊云存儲(chǔ)Redis如何構(gòu)建安全防護(hù)

近 日，北京白帽匯安全團(tuán)隊(duì)(nosec.org)宣布，雙11期間發(fā)現(xiàn)全網(wǎng)性的入侵事件：某團(tuán)體利用Redis的“未經(jīng)授權(quán)登陸”漏洞，對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)服務(wù)器 進(jìn)行大規(guī)模的入侵。此次攻擊事件已經(jīng)導(dǎo)致至少10000臺(tái)暴露Redis server的服務(wù)器被入侵，占比達(dá)到Redis開放服務(wù)器的67%。 在此次安全事件中，騰訊云安全團(tuán)隊(duì)第一時(shí)間為用戶發(fā)送了漏洞提醒和漏洞修復(fù)建議。

Redis作為性能卓越的KV存儲(chǔ)系統(tǒng)得到了廣泛應(yīng)用，所以影響范圍比較大。黑客可通過執(zhí)行腳本代碼，或通過數(shù)據(jù)備份功能寫入后門文件。如果Redis以root身份運(yùn)行，黑客甚至可以繞過Linux安全機(jī)制，直接登錄受害服務(wù)器，安全防御如同虛設(shè)。

截至目前，Redis官方網(wǎng)站并未對(duì)此提供補(bǔ)丁，至少目前為止看到利用的過程都是基于Redis提供的正常功能。如果入侵成功，不僅可以取得服務(wù)器上所有機(jī)密信息，甚至可以對(duì)數(shù)據(jù)進(jìn)行惡意刪除， 給被入侵者帶來巨額損失。

問題來了：這樣的攻擊應(yīng)該如何防范？ 

黑客如何通過漏洞竊取信息？

黑客首先通過端口掃描器，對(duì)開放公網(wǎng)端口的服務(wù)器進(jìn)行掃描。當(dāng)發(fā)現(xiàn)了Redis的服務(wù)端口以后就嘗試進(jìn)行登錄，如果碰巧該redis-server沒有設(shè)置密碼的話，就可以順利的控制這個(gè)redis-server了； 更進(jìn)一步黑客還可以嘗試將自己的密鑰文件通過save命令存儲(chǔ)到機(jī)器的ssh目錄當(dāng)中，如果等黑客完成了這一操作， 那么你的這臺(tái)機(jī)器就實(shí)實(shí)在在的淪為了一臺(tái)肉機(jī)了；黑客甚至可能通過這臺(tái)機(jī)器為起點(diǎn)攻破并且控制肉機(jī)所在網(wǎng)絡(luò)的所有服務(wù)器， 這對(duì)公司或者組織的損失將是無法估量的。 

騰訊云存儲(chǔ)Redis如何保障數(shù)據(jù)安全？

騰訊云存儲(chǔ)Redis（Cloud Redis Store）是兼容Redis協(xié)議的分布式緩存和存儲(chǔ)服務(wù)。支持主從熱備自動(dòng)容災(zāi)，支持?jǐn)?shù)據(jù)快照和Key粒度的數(shù)據(jù)管理及回檔，用戶可作為Key-Value數(shù)據(jù)庫使用。

騰訊云存儲(chǔ)Redis產(chǎn)品介紹

CRS系統(tǒng)將數(shù)據(jù)的存儲(chǔ)和用戶的接入分開， 同一個(gè)用戶的數(shù)據(jù)分布在多臺(tái)機(jī)器上，從而突破單機(jī)內(nèi)存容量的限制；同時(shí)，多個(gè)用戶的數(shù)據(jù)，保存在同一臺(tái)機(jī)器， 通過一定的策略，隔離多個(gè)用戶，避免用戶之間相互影響。 整個(gè)系統(tǒng)包括如下幾部分：

• 在線存儲(chǔ)系統(tǒng)： 接入集群、存儲(chǔ)集群和導(dǎo)入導(dǎo)出服務(wù)；

• 數(shù)據(jù)高可靠系統(tǒng)： 主備同步模塊、流水系統(tǒng)和冷備中心；

• 運(yùn)維監(jiān)控系統(tǒng)： 日志中心和多維監(jiān)控系統(tǒng)；

• 支持系統(tǒng)： 任務(wù)中心、配置中心和路由系統(tǒng)；

云存儲(chǔ)Redis技術(shù)架構(gòu)圖

騰訊云存儲(chǔ)Redis通過內(nèi)外網(wǎng)隔離機(jī)制，安全審計(jì)等方式，保障數(shù)據(jù)安全：

• 云存儲(chǔ)Redis利用騰訊云統(tǒng)一的網(wǎng)絡(luò)防火墻，將Redis的服務(wù)端口保護(hù)在云機(jī)房?jī)?nèi)部，這樣就杜絕了黑客從外網(wǎng)進(jìn)行端口掃描和惡意攻擊的通道；

• 對(duì)于黑客購買騰訊云主機(jī)，企圖從內(nèi)網(wǎng)發(fā)起網(wǎng)絡(luò)攻擊的情況，我們?cè)诰W(wǎng)絡(luò)路由策略上進(jìn)行了用戶之間的強(qiáng)制隔離，防止用戶訪問到其他用戶的Redis實(shí)例；

• 云存儲(chǔ)Redis的接入層會(huì)進(jìn)行統(tǒng)一的惡意命令安全審計(jì)和強(qiáng)密碼校驗(yàn)，從而更加強(qiáng)化對(duì)用戶的數(shù)據(jù)安全防護(hù)。

隨著Redis成為越來越多企業(yè)的首選內(nèi)存數(shù)據(jù)庫解決方案，Redis的流行也帶來一系列安全問題，其中存在的漏洞將會(huì)受到越來越多黑客的關(guān)注。重視Redis數(shù)據(jù)安全，規(guī)避運(yùn)營(yíng)風(fēng)險(xiǎn)，才能保障業(yè)務(wù)健康快速的發(fā)展。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。