近日，北京白帽匯安全團(tuán)隊(duì)(nosec.org)宣布，雙11期間發(fā)現(xiàn)全網(wǎng)性的入侵事件：某團(tuán)體利用Redis的“未經(jīng)授權(quán)登陸”漏洞，對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)服務(wù)器進(jìn)行大規(guī)模的入侵。此次攻擊事件已經(jīng)導(dǎo)致至少10000臺(tái)暴露Redisserver的服務(wù)器被入侵，占比達(dá)到Redis開(kāi)放服務(wù)器的67%。在此次安全事件中，騰訊云安全團(tuán)隊(duì)第一時(shí)間為用戶發(fā)送了漏洞提醒和漏洞修復(fù)建議。

Redis作為性能卓越的KV存儲(chǔ)系統(tǒng)得到了廣泛應(yīng)用，所以影響范圍比較大。黑客可通過(guò)執(zhí)行腳本代碼，或通過(guò)數(shù)據(jù)備份功能寫(xiě)入后門(mén)文件。如果Redis以root身份運(yùn)行，黑客甚至可以繞過(guò)Linux安全機(jī)制，直接登錄受害服務(wù)器，安全防御如同虛設(shè)。

截至目前，Redis官方網(wǎng)站并未對(duì)此提供補(bǔ)丁，至少目前為止看到利用的過(guò)程都是基于Redis提供的正常功能。如果入侵成功，不僅可以取得服務(wù)器上所有機(jī)密信息，甚至可以對(duì)數(shù)據(jù)進(jìn)行惡意刪除，給被入侵者帶來(lái)巨額損失。

問(wèn)題來(lái)了：這樣的攻擊應(yīng)該如何防范？

黑客如何通過(guò)漏洞竊取信息？

黑客首先通過(guò)端口掃描器，對(duì)開(kāi)放公網(wǎng)端口的服務(wù)器進(jìn)行掃描。當(dāng)發(fā)現(xiàn)了Redis的服務(wù)端口以后就嘗試進(jìn)行登錄，如果碰巧該redis-server沒(méi)有設(shè)置密碼的話，就可以順利的控制這個(gè)redis-server了；更進(jìn)一步黑客還可以嘗試將自己的密鑰文件通過(guò)save命令存儲(chǔ)到機(jī)器的ssh目錄當(dāng)中，如果等黑客完成了這一操作，那么你的這臺(tái)機(jī)器就實(shí)實(shí)在在的淪為了一臺(tái)肉機(jī)了；黑客甚至可能通過(guò)這臺(tái)機(jī)器為起點(diǎn)攻破并且控制肉機(jī)所在網(wǎng)絡(luò)的所有服務(wù)器，這對(duì)公司或者組織的損失將是無(wú)法估量的。

騰訊云存儲(chǔ)Redis如何保障數(shù)據(jù)安全？

騰訊云存儲(chǔ)Redis（CloudRedisStore）是兼容Redis協(xié)議的分布式緩存和存儲(chǔ)服務(wù)。支持主從熱備自動(dòng)容災(zāi)，支持?jǐn)?shù)據(jù)快照和Key粒度的數(shù)據(jù)管理及回檔，用戶可作為Key-Value數(shù)據(jù)庫(kù)使用。

騰訊云存儲(chǔ)Redis產(chǎn)品介紹

CRS系統(tǒng)將數(shù)據(jù)的存儲(chǔ)和用戶的接入分開(kāi)，同一個(gè)用戶的數(shù)據(jù)分布在多臺(tái)機(jī)器上，從而突破單機(jī)內(nèi)存容量的限制；同時(shí)，多個(gè)用戶的數(shù)據(jù)，保存在同一臺(tái)機(jī)器，通過(guò)一定的策略，隔離多個(gè)用戶，避免用戶之間相互影響。整個(gè)系統(tǒng)包括如下幾部分：

在線存儲(chǔ)系統(tǒng)：接入集群、存儲(chǔ)集群和導(dǎo)入導(dǎo)出服務(wù)；

數(shù)據(jù)高可靠系統(tǒng)：主備同步模塊、流水系統(tǒng)和冷備中心；

運(yùn)維監(jiān)控系統(tǒng)：日志中心和多維監(jiān)控系統(tǒng)；

支持系統(tǒng)：任務(wù)中心、配置中心和路由系統(tǒng)；

云存儲(chǔ)Redis技術(shù)架構(gòu)圖

騰訊云存儲(chǔ)Redis通過(guò)內(nèi)外網(wǎng)隔離機(jī)制，安全審計(jì)等方式，保障數(shù)據(jù)安全：

云存儲(chǔ)Redis利用騰訊云統(tǒng)一的網(wǎng)絡(luò)防火墻，將Redis的服務(wù)端口保護(hù)在云機(jī)房?jī)?nèi)部，這樣就杜絕了黑客從外網(wǎng)進(jìn)行端口掃描和惡意攻擊的通道；

對(duì)于黑客購(gòu)買騰訊云主機(jī)，企圖從內(nèi)網(wǎng)發(fā)起網(wǎng)絡(luò)攻擊的情況，我們?cè)诰W(wǎng)絡(luò)路由策略上進(jìn)行了用戶之間的強(qiáng)制隔離，防止用戶訪問(wèn)到其他用戶的Redis實(shí)例；

云存儲(chǔ)Redis的接入層會(huì)進(jìn)行統(tǒng)一的惡意命令安全審計(jì)和強(qiáng)密碼校驗(yàn)，從而更加強(qiáng)化對(duì)用戶的數(shù)據(jù)安全防護(hù)。

隨著Redis成為越來(lái)越多企業(yè)的首選內(nèi)存數(shù)據(jù)庫(kù)解決方案，Redis的流行也帶來(lái)一系列安全問(wèn)題，其中存在的漏洞將會(huì)受到越來(lái)越多黑客的關(guān)注。重視Redis數(shù)據(jù)安全，規(guī)避運(yùn)營(yíng)風(fēng)險(xiǎn)，才能保障業(yè)務(wù)健康快速的發(fā)展。