9 月 10 日下午, 又一起规模化利用 Redis 未授权访问漏洞攻击数据库的事件发生, 此次黑客以勒索钱财作为第一目的, 猖狂至极, 攻击者赤裸裸威胁, 直接删除数据库数据. 腾讯云安全系统在攻击开始不到 30s 就启动全网拦截.
早在 2017 年, 腾讯云就针对该高危漏洞发布过预警, 但是仍有不少用户未进行安全加固. 腾讯云安全专家提醒用户参考文末方法, 尽快安全漏洞修复或部署防御. 避免因被攻击, 造成整个服务器的程序和数据被删除, 数据难以恢复, 从而影响业务发展.
在 Redis 被勒索面前, 我们能做什么? 乖乖地交赎金吗? 腾讯云数据库团队通过分析勒索软件的攻击原理, 结合多年数据库安全防护的深厚经验积累, 制定出事前, 事中, 事后全方位的 Redis 防勒索病毒防护方案.
一, 做好数据库攻击的事前预防:
做好权限管理: 云计算厂商一般都会提供访问控制 (Cloud Access Management,CAM) 的 web 服务, 主要用于帮助客户安全管理账户下的资源的访问权限. 通过 CAM 创建, 管理和销毁用户 (组), 并使用身份管理和策略管理控制其他用户使用云资源的权限. 对于密级较高的数据, 也可以采用密钥管理服务(Key Management Service) 来进行加密.
自定义专属私有网络( VPC ): 目前云计算厂商均会提供私有网络访问, 在云上自定义的逻辑隔离网络空间. 私有网络下的实例可被启动在预设的, 自定义的网段下, 与其他云租户相互隔离.
利用安全组控制访问权限: 安全组是一种有状态的包含过滤功能的虚拟防火墙, 用于设置单台或多台服务器的网络访问控制, 运维人员需要控制好相应机器的访问列表, 严格控制安全组的访问列表.
二, 加强数据库攻击的事中防护:
做好多重认证信息: 做好密码的强认证, 强制要求数据库密码的复杂度, 防止被黑客暴力破解; 针对高危的操作, 如 flashdb,flash all 操作做好权限控制禁止, 添加短信密码的认证, 当然这块的开发成本也是非常高昂.
加强数据通信加密: 有条件的可以采取 IPsec VPN 数据通道加密, 或者使用 SSL 的传输加密, 当然要承担 30% 左右的性能损失.
三, 做好事后审查纠正:
备份: 持续数据保护, 日备份, 周备份
容灾: 自动容灾, 数据同步. 主机故障后, 服务秒级切换到备机, 服务切换不影响线上业务
一旦入侵行为发生, 除了采取必要措施进行数据容灾恢复, 封堵. 我们我们需要容灾恢复方案, 顺利将数据库恢复到被入侵前的时间点, 再结合安全产品, 确保系统坚不可摧, 我们需要一个详细的审计日志的记录和存储, 就是回溯和确认攻击源头, 还原恶意行为的蛛丝马迹, 查出 "对手" 的详细信息以及准确的损失评估, 便于后面的长期预防和业务止血.
讲了这么多, 想做好上述详细的 Redis 安全防护, 需要投入大量的开发及 DBA 同学进行长期的建设, 而同时业务又要快速奔跑, 折煞相关的管理人员. 好在我们生活在云计算的美好时代, 腾讯云数据库 Redis 可以帮我们解决燃眉之急. 腾讯云数据库 Redis 基于腾讯云安全体系, 提供防火墙, 帐号安全, 访问控制, 入侵防御, 隔离, 备份恢复等多重安全机制, 保护用户数据安全, 让腾讯云的企业时刻都能安心于自身的业务拓展.
腾讯云数据库 Redis 支持单机版, 主从版和集群版三种规格, 低至 12 元 / 月, 提供自动容灾切换, 数据备份, 故障迁移, 实例监控, 在线扩容, 数据回档, 安全等全套的数据库服务.
来源: https://www.qcloud.com/developer/article/1334590