¿Cómo puedo proteger mis instancias de DCS Redis?
Redis es una de las tecnologías de caché de código abierto más potentes y ampliamente utilizadas. Sin embargo, el Redis de código abierto no tiene características de seguridad robustas propias. Es vulnerable a ataques maliciosos de Internet, lo que puede causar violaciones de datos.
Para proteger sus instancias de DCS Redis, considere seguir los siguientes consejos:
- Configuraciones de conexión de red
- Cifrar los datos confidenciales y desactivar el acceso público.
Los datos confidenciales deben cifrarse antes de almacenarse. No habilite el acceso público a menos que se requiera lo contrario.
- Configurar las reglas de acceso para los grupos de seguridad.
Los grupos de seguridad y las VPC están diseñados para proteger el acceso a la red. Permitir el acceso a través del menor número posible de puertos para evitar riesgos.
- Configurar los firewalls de ECS.
Configurar las reglas de filtrado de firewall para el ECS donde se ejecuta el cliente.
- Establecer la contraseña de la instancia.
- Configurar una lista blanca.
- Cifrar los datos confidenciales y desactivar el acceso público.
- uso de redis-cli
- Hide the password.
Problema: Si se utiliza la opción -a <password>, la contraseña puede aparecer cuando se ejecuta el comando ps.
Solución: modifique el código fuente de Redis. Ocultar la contraseña inmediatamente después de iniciar redis-cli invocando a la función principal.
- Deshabilitar sudo en secuencias de comandos en ejecución.
Problema: Los parámetros para iniciar redis-cli contienen los patrones sensibles relacionados con la contraseña, que pueden aparecer cuando se ejecuta el comando ps y pueden registrarse.
Solución: Acceda a la instancia invocando a las API (o a través de redis-py en Python). No permita cambiar al usuario dbuser usando sudo en redis-cli.
- Hide the password.
