Como proteger minhas instâncias do DCS Redis?
O Redis é uma das tecnologias de cache de código aberto mais poderosas e amplamente utilizadas. No entanto, o Redis de código aberto não possui recursos de segurança robustos próprios. É vulnerável a ataques maliciosos da Internet, possivelmente causando violações de dados.
Para proteger suas instâncias do DCS Redis, considere seguir os seguintes conselhos:
- Configurações de conexão de rede
- Criptografe dados confidenciais e desative o acesso público.
Os dados confidenciais devem ser criptografados antes de serem armazenados. Não use o acesso público, a menos que seja exigido de outra forma.
- Configure regras de acesso para os grupos de segurança.
Grupos de segurança e VPCs são projetados para proteger o acesso à rede. Permitir o acesso pelo menor número possível de portas para evitar riscos.
- Configure firewalls do ECS.
Configure regras de filtragem de firewall para o ECS em que o cliente é executado.
- Defina a senha da instância.
- Configure uma lista branca.
- Criptografe dados confidenciais e desative o acesso público.
- Utilização do redis-cli
- Esconda a senha.
Problema: se a opção -a <password> for usada, a senha poderá aparecer quando o comando ps for executado.
Solução: modifique o código fonte do Redis. Esconda a senha imediatamente após iniciar o redis-cli chamando a função principal.
- Desative o sudo em execução de scripts.
Problema: os parâmetros para iniciar o redis-cli contêm padrões sensíveis relacionados à senha, que podem aparecer quando o comando ps é executado e podem ser registrados.
Solução: acesse a instância chamando APIs (ou através do redis-py em Python). Não permitir alternar para o usuário dbuser usando sudo no redis-cli.
- Esconda a senha.
