虹科干货|Redis企业版数据库为企业「数据安全」叠加最强Buff!
虹科干货|Redis企业版数据库为企业「数据安全」叠加最强Buff!
“这是一场可预见的噩梦!”
近期,黑客通过攻击亚洲最大两家数据中心—万国数据和新科电信媒体,获取国际巨头企业的登录凭证,引发了2000多家企业史诗级数据泄露。中国作为全球第二大托管服务市场,尤其应当警惕威胁,即刻做出预控措施,应对风险!
数据安全问题的重要性不言而喻,特别是对于企业团队来说,保护公司数据安全更是首要任务。虹科提供的Redis企业版数据库正在不断努力升级产品的安全性!在虹科提供的Redis企业版数据库6.4.2中,对其现有的安全功能进行了强化:新增客户端证书和发布/订阅访问管理两大功能!使其在符合法规和行业要求的前提下,成为企业的最强助攻担当,为企业提供更多的便利和服务。
那么问题来了:“虹科提供的Redis企业版数据库这次为何着重突出这两项功能的升级,它又凭什么能为企业实现数据安全叠加最强Buff?”别着急,虹科来为你一一解答!
一. 带有subject验证的双向TLS身份验证
1.传输层安全性(TLS)
传输层安全性( TLS )是一种加密协议,TLS被互联网工程任务组(Internet Engineering Task Force, IETF)描述为“互联网的核心安全协议”,目的是为互联网通信提供安全及数据完整性保障。具体表现为:
(1) TLS协议采用主从式架构模型。该模型被广泛应用于保护计算机应用程序间的通信:在两个应用程序间透过网络创建安全的连线,来防止数据在交换时受到窃听和篡改。
(2) TLS使用一种叫做公钥加密的技术运作。它依赖于一对密钥(公钥和私钥),任何用公钥加密的内容,都只能用私钥来解密。如果服务器解密了用公钥加密的信息,就证明它拥有私钥,公钥可以让任何人通过域或服务器的TLS证书来查看。
2. Mutual TLS (mTLS)
Mutual TLS (mTLS),是一种用于双向验证身份的方法:
(1) mTLS是在会话开始,TSL进行握手时,服务器与客户端互相提供交换证 书,通过证书颁发机构来彼此验证身份,认证通过方可进行通信的过程。
(2) 使用mTLS的必要性:
首先,它为登录到团队网络或应用程序的用户提供了一层额外的安全保护。其次,它还可以验证与不遵循登录过程的客户端之间的链接。最重要的是,它可以防止:在途攻击、欺骗攻击、凭证填充、暴力攻击、网络钓鱼攻击、恶意API请求等各类型攻击。
另外,对于日常用途,单向身份验证提供了足够的保护。但在单个或较小的团队规模上,mTLS还是非常实用的。尤其是为在保持API的安全上,mTLS通常被用于零信任安全框架,由于零信任方法默认不信任任何用户、设备或请求,因此团队必须能够在每次尝试访问网络中的任何时间对每个用户、设备和请求进行身份验证。mTLS刚好能够通过验证用户和验证设备来实现这一点。
(3) 在虹科Redis企业版数据库中,可以将其配置为使用mTLS。此时,如果客户端试图连接到数据库,Redis企业版数据库就会在TLS握手期间验证客户端的证书之后,再允许它连接到数据库。
但如果多个客户端都获得了有效的客户端证书,而您只想允许他们中的部分人访问某个数据库时,就是我们虹科Redis企业版数据库6.4.2新功能(额外的证书验证)上场的时刻啦!从6.4.2版开始,虹科Redis企业版数据库是允许您对经过身份验证的客户端证书执行其他验证的:
(1)使用公钥证书的subject字段。其中包含了有关证书所属客户端身份的附加信息。基于此,在允许客户端连接到数据库之前,虹科Redis企业版数据库会执行两个步骤:
- 该证书以加密方式进行身份验证。
2)将证书的subject信息与数据库配置的允许subject列表进行比较,仅当找到匹配项时才允许连接。
例如,一个使用Redis企业版数据库的国家大型金融机构,希望根据客户端证书来控制客户可以访问的特定数据库。他们的客户都使用有效的客户证书,但具有不同的subject值。一旦为数据库开启“附加证书验证”选项,并正确配置允许的subject列表后,该机构现在就可以控制特定客户端证书子集来访问对应数据库。
(2)在虹科Redis企业版数据库中使用mTLS涉及几个步骤:
1)为数据库开启TLS和mTLS选项;
2)加载数据库的相关证书颁发机构(CA)根证书或中间证书;
3)添加允许的subject行列表;
4)选择“按完整subject进行的其他证书验证”选项。
二.强化Redis ACL发布/订阅的访问管理功能
发布/订阅(pub/sub)是一种允许间接通信的消息传递方法。客户端或应用程序可以向共享资源端发布消息,其他客户端或应用程序也可以订阅该资源来接收这些消息。
在虹科Redis企业版数据库中,我们把这种资源称为通道,它提供了一种快速、轻量和可扩展的解决方案。发布/订阅频道和广播电台的运作模式相似,企业需要连接之后才能接收消息。发布/订阅频道的同步性使得实时通知、在微服务之间发送消息、在应用程序的不同部分之间进行通信成为可能。
值得注意的是,这些资源显然是需要得到软件保护的:
(1)访问控制列表(ACL)一个规则列表,其中的每条规则都对资源或操作的访问权限授予或拒绝。ACL是团队限制未授权用户访问敏感业务信息,或执行未授权操作的强大工具。
为满足用户的需求,Redis企业版数据库正在不断增强其ACL功能和覆盖范围。随着Redis企业版数据库6.4.2的发布,ACL现在可以允许和禁止访问发布/订阅频道。
(2)送到频道的无效消息会破坏应用程序。**它可能会导致数据损坏、数据丢失甚至中断。通过限制所有访问权限,并仅允许相关用户访问特定频道,这样可以减少无论是出于恶意还是无意,被限制访问或发送消息这两种情况被执行的机会。
(3)资源保护的方法主要有两种:
- 是隐式访问:客户可以访问所有内容,并设置权限以限制访问。就好像:任何人都可以进入一家餐馆,除非被餐馆老板列入了黑名单禁止入内。
2)显式授予:除非客户被显式授予权限,否则无权访问。就比如:如果没有通过安检和机场工作人员验证机票,一般无法登上飞机。当然,这种资产保护的方法更安全。
(4)虹科提供的Redis企业版数据库所采用的方法:除了允许使用ACL的渠道,选择限制所有发布/订阅渠道。目前,在虹科提供的Redis企业版数据库 6.4.2中,可以通过配置适用于所有数据库通道的集群范围默认选项,来达到这个目的。
为了避免更改过于极端及符合以前的版本,虹科提供的Redis企业版数据库6.4.2安装提供的 acl-pubsub-default 值也是被所有频道允许的。一旦集群中的所有数据库都处于Redis版本6.4.2(或未来版本中的更高版本)中,我们建议将此值设置为“restrictive”(resetchannels)。
另外,如果是正在使用ACL和发布/订阅渠道,建议检查数据库和ACL设置并切换到受限模式,因为这将是未来虹科Redis企业版数据库中 acl-pubsub-default 的新默认值。
三. 更多功能优势:节省时间和资源
尽管虹科提供的Redis企业版数据库6.4.2的突出重点是上述安全功能。但新添功能绝不止于此!
1.生成自签名证书
虹科Redis企业版数据库提供自签名TLS证书,从而允许不使用受信任的CA签名证书的客户也可以安全使用。但注意,自签名证书默认有效期为一年,所以建议客户在其过期前及时更新这些证书。
另外,虹科Redis企业版数据库现在还提供了一个用户友好的脚本,客户不需要事先了解这些,也能快速轻松地创建新的一次性自签名证书。在此之后也只需通过几个简单的步骤就能将这些证书加载到Redis企业版数据库中。
2.服务灵活选择
众所周知,Redis企业版数据库提供的服务丰富多样,但有时它们也不是全部被需要的。虹科Redis企业版数据库提供了删除服务工具,借此可以节省内存资源,并为更有价值的服务腾出空间。
虹科Redis企业版数据库还添加了禁用警报管理器的功能,用以发送电子邮件警报:rladmin cluster config alert_mgr [<enabled | disabled>
但如果拥有替代警报系统,则也许此服务会被禁用。建议谨慎使用此功能。
借助虹科提供的Redis企业版数据库6.4.2,可以更快、更高效、更灵活的创建应用程序。最重要的是,对用户的整个创建过程都是安全的,这也是Redis企业版数据库6.4.2诞生的意义所在!
虹科Redis企业版软件(Redis Enterprise)是企业级的数据库软件,也是一款实时数据平台,为全球超过8500家知名企业提供实时数据服务。具有线性可扩展性、高可用性、持久性、备份和恢复、地理分布、分层内存访问、多租户、安全性等8大核心功能、拥有RediSearch、RedisJSON等7大【Redis企业版特有模块】,可以任何规模在云、本地和混合部署中运行现代应用程序,提供无服务器、多模型的数据库解决方案。Redis企业版的核心优势是采用Redis
on
flash分层存储技术即【内存+闪存+磁盘】的存储方式,其Active-Active地理分布式架构允许跨地理位置同时进行数据读写操作、拥有亚毫秒延迟和极高吞吐量。
提问:
1.“你的企业在数据安全保护方面最大的难题是什么?”
2.“你对本次黑客攻击,两大亚洲数据中心大规模泄露有什么理解和想法呢?”
虹科是Redis企业版数据库的中国区战略合作伙伴,虹科持续关注各行业当下急切需求,专注于为企业解答疑问,制定专属服务,提供一站式解决方案,虹科提供的Redis企业版数据库是无数企业数据安全保护路上的最佳合作选择!为企业的数据安全保驾护航!
点赞收藏转发!关于企业如何更好地实现数据安全保护有任何其他疑问,欢迎在评论区进行交流或者联系我们!前往云科技官网了解更多数据安全保护相关资…
推荐阅读:虹科分享 | 一起聊聊Redis企业版数据库与【微服务误解】那些事儿!
虹科干货|Redis企业版数据库为企业「数据安全」叠加最强Buff!相关推荐
- 虹科干货 | BI软件如何实时连接本地Excel?—以HK-Domo商业智能工具为例
由于资源和人才的限制,很多中小微企业目前在数据收集和数据应用上还处于比较落后的阶段,没有合适的方法处理数据.最典型的情况就是通过Excel收集数据,然后频繁的手动生成报告.这样会导致数据质量差,流程重 ...
- 虹科干货 | 零售业数智升级不掉队,get数据,get未来!
电商崛起,传统零售行业危机四伏,全渠道盈利与可持续化成为难点,库存管理这块难啃的"硬骨头"也同样让零售商倍感压力- 背腹受敌的零售商,如何才能在数字化转型道路上避免利润缩水,与供应 ...
- AR眼镜单、双目选哪个好?技术工程师资深经验分享!虹科干货
随着技术和市场的成熟,各种智能眼镜不断推陈出新,不同品牌的智能眼镜在外形设计上也五花八门.各有特点. 虽说众多眼镜外形上不太统一,但按眼镜上显示器的个数可以将其分为单目和双目两大类. 有了这样的分类, ...
- 虹科干货 | 如何使用AR眼镜识别内容并展示3D模型?
AR-增强现实,有没有想过AR增强现实的效果是怎样的呢?本文将基于已有软件效果,展示识别图像并显示3D模型的Demo原理和实际应用场景. AR显示效果预览 在Vuzix 官方 App Store 中展 ...
- 虹科干货 | 仅需3步!教你如何基于Windows系统操作使用RELY-TSN-KIT评估套件
虹科RELY-TSN-KIT是首款针对TSN的开箱即用的解决方案,它可以无缝实施确定性以太网网络,并从这些技术复杂性中抽象出用户设备和应用.该套件可评估基于IEEE 802.1AS同步的时间常识的重要 ...
- 虹科分享 | 解析数据加密,保护你的数据安全
你可能已经被敦促寻找加密服务来帮助保护你的组织的数据,但如果你是一个不熟悉信息技术的最佳实践或管理数据的技术方面的领导者,"数据加密 "这个短语可能会感觉像技术术语或只是像一个模糊 ...
- 【坊间盘点】最近哪些企业「跑步」入场?
作者:景琦 原文链接:https://mp.weixin.qq.com/s/N4jBStZfM00-6vvaYXjZeA 现在,好像只要沾上"区块链"概念的公司,就能刷爆人们的眼球 ...
- 2021年全球锂电池负极材料行业发展现状、竞争格局及企业产能布局分析,全球市场头部企业均是本土企业「图」
一.负极材料综述 锂离子电池是指以嵌锂化合物为正负极材料的二次电池,在充放电过程中,锂离子在两个电极间往返脱嵌和嵌入.相对于传统铅酸电池和镍铬电池等,锂离子电池具有能量密度高.循环寿命长.充放电性能好 ...
- 虹科喜报 | 虹科技术工程师【国内首批】拿下Redis认证开发者证书!
要说虹科数据库技术工程师有多强悍,认证考试2022年12月上线,次年2月就以全国首批速度强势通过考试,并于两周后正式收到[Redis认证开发人员]证书! 虹科小云忍不住浅浅炫耀一下: 或许大家对Red ...
最新文章
- JAVA实现中点画线_实验1-中点画线和Bresenham画线算法的实现
- walletconnect
- JQuery Ajax传递整个表单数据方法
- lintcode 418整数转罗马数字
- java枚举和枚举类_Java枚举:您拥有优雅,优雅和力量,这就是我所爱!
- js与c语言互相调用,Objc与JS间相互调用
- python contains类似函数_Python也能做到Excel那样,条件统计轻松解决工作需求
- opencv-api minAreaRect
- Tokenview:交易所比特币净流出量大幅增加
- MySQL5.5+winXP,字符集设置utf8,好像不能支持中文
- 几行代码就搞定一个文字识别功能,同时还能转换成语音,畅快!
- matlab在机械中的应用,MATLAB在机械工程控制基础中的应用
- idea和搜狗输入法快捷键冲突_Win10 输入法简繁体快捷键与 IDEA 冲突
- Aspack壳手动脱壳
- 【GZH逸佳君】答辩ppt模板-ppt模板免费下载-ppt模板下载免费版 100套
- 微信的账号连接服务器失败怎么回事,微信无法连接到服务器的原因和6个解决方法...
- html网页logo属性link,html元素link标签rel=icon添加网站favicon.ico图标
- 你会制作点赞吗?(含动图)
- 电商直播同质化严重,模式创新迫在眉睫
- Show Stopper!