GeminiDB Redis安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云。作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了GeminiDB Redis使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估GeminiDB Redis的安全状态,更好地组合使用GeminiDB Redis提供的多种安全能力,提高对GeminiDB Redis的整体安全防御能力,保护存储在GeminiDB Redis的数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估GeminiDB Redis使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 建议避免绑定EIP直接通过互联网访问GeminiDB Redis。
- 避免使用常用密码。
- 建议配置实例访问日志功能。
- 建议开启加密通信。
- 开启静态数据加密。
- 开启备份功能。
- 设置秒级监控和告警规则。
- 版本升级。
建议避免绑定EIP直接通过互联网访问GeminiDB Redis
避免GeminiDB Redis部署在互联网或者DMZ里,应该将GeminiDB Redis部署在公司内部网络,使用路由器或者防火墙技术把GeminiDB Redis保护起来,避免直接绑定EIP方式从互联网访问GeminiDB Redis。通过这种方式防止未授权的访问及DDos攻击等。不推荐绑定弹性公网IP,如果业务必需,请务必设置安全组。
建议配置实例访问日志功能
配置访问日志后,GeminiDB Redis实例新生成的审计日志、错误日志和慢日志记录会上传到LTS进行管理。您可以查看GeminiDB Redis实例审计日志、错误日志和慢日志的详细信息,包括搜索日志、日志可视化、下载日志和查看实时日志等功能,提高系统运维效率。详情请参见日志配置管理。
建议开启加密通信
如果未配置SSL加密通信,那么在Redis客户端和服务器之间传输的数据,容易受到窃听、篡改和"中间人"攻击。为了提高数据传输的安全性,建议您开启SSL加密通信。详情请参见设置SSL数据加密。
设置秒级监控和告警规则
GeminiDB Redis默认支持对实例进行监控,当监控指标的值超出设置的阈值时就会触发告警,系统会通过SMN自动发送报警通知给云账号联系人,帮助您及时了解GeminiDB Redis实例的运行状况。请您结合实际的业务,设置合适的监控和告警规则。详情请参见监控与告警。
