漏洞預警！騰訊云存儲Redis如何構建安全防護

近 日，北京白帽匯安全團隊(nosec.org)宣布，雙11期間發(fā)現(xiàn)全網(wǎng)性的入侵事件：某團體利用Redis的“未經授權登陸”漏洞，對國內互聯(lián)網(wǎng)服務器 進行大規(guī)模的入侵。此次攻擊事件已經導致至少10000臺暴露Redis server的服務器被入侵，占比達到Redis開放服務器的67%。 在此次安全事件中，騰訊云安全團隊第一時間為用戶發(fā)送了漏洞提醒和漏洞修復建議。

Redis作為性能卓越的KV存儲系統(tǒng)得到了廣泛應用，所以影響范圍比較大。黑客可通過執(zhí)行腳本代碼，或通過數(shù)據(jù)備份功能寫入后門文件。如果Redis以root身份運行，黑客甚至可以繞過Linux安全機制，直接登錄受害服務器，安全防御如同虛設。

截至目前，Redis官方網(wǎng)站并未對此提供補丁，至少目前為止看到利用的過程都是基于Redis提供的正常功能。如果入侵成功，不僅可以取得服務器上所有機密信息，甚至可以對數(shù)據(jù)進行惡意刪除， 給被入侵者帶來巨額損失。

問題來了：這樣的攻擊應該如何防范？ 

黑客如何通過漏洞竊取信息？

黑客首先通過端口掃描器，對開放公網(wǎng)端口的服務器進行掃描。當發(fā)現(xiàn)了Redis的服務端口以后就嘗試進行登錄，如果碰巧該redis-server沒有設置密碼的話，就可以順利的控制這個redis-server了； 更進一步黑客還可以嘗試將自己的密鑰文件通過save命令存儲到機器的ssh目錄當中，如果等黑客完成了這一操作， 那么你的這臺機器就實實在在的淪為了一臺肉機了；黑客甚至可能通過這臺機器為起點攻破并且控制肉機所在網(wǎng)絡的所有服務器， 這對公司或者組織的損失將是無法估量的。 

騰訊云存儲Redis如何保障數(shù)據(jù)安全？

騰訊云存儲Redis（Cloud Redis Store）是兼容Redis協(xié)議的分布式緩存和存儲服務。支持主從熱備自動容災，支持數(shù)據(jù)快照和Key粒度的數(shù)據(jù)管理及回檔，用戶可作為Key-Value數(shù)據(jù)庫使用。

騰訊云存儲Redis產品介紹

CRS系統(tǒng)將數(shù)據(jù)的存儲和用戶的接入分開， 同一個用戶的數(shù)據(jù)分布在多臺機器上，從而突破單機內存容量的限制；同時，多個用戶的數(shù)據(jù)，保存在同一臺機器， 通過一定的策略，隔離多個用戶，避免用戶之間相互影響。 整個系統(tǒng)包括如下幾部分：

• 在線存儲系統(tǒng)： 接入集群、存儲集群和導入導出服務；

• 數(shù)據(jù)高可靠系統(tǒng)： 主備同步模塊、流水系統(tǒng)和冷備中心；

• 運維監(jiān)控系統(tǒng)： 日志中心和多維監(jiān)控系統(tǒng)；

• 支持系統(tǒng)： 任務中心、配置中心和路由系統(tǒng)；

云存儲Redis技術架構圖

騰訊云存儲Redis通過內外網(wǎng)隔離機制，安全審計等方式，保障數(shù)據(jù)安全：

• 云存儲Redis利用騰訊云統(tǒng)一的網(wǎng)絡防火墻，將Redis的服務端口保護在云機房內部，這樣就杜絕了黑客從外網(wǎng)進行端口掃描和惡意攻擊的通道；

• 對于黑客購買騰訊云主機，企圖從內網(wǎng)發(fā)起網(wǎng)絡攻擊的情況，我們在網(wǎng)絡路由策略上進行了用戶之間的強制隔離，防止用戶訪問到其他用戶的Redis實例；

• 云存儲Redis的接入層會進行統(tǒng)一的惡意命令安全審計和強密碼校驗，從而更加強化對用戶的數(shù)據(jù)安全防護。

隨著Redis成為越來越多企業(yè)的首選內存數(shù)據(jù)庫解決方案，Redis的流行也帶來一系列安全問題，其中存在的漏洞將會受到越來越多黑客的關注。重視Redis數(shù)據(jù)安全，規(guī)避運營風險，才能保障業(yè)務健康快速的發(fā)展。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。