Trong vài tháng qua, nhóm giáo dục Redis đã làm việc chăm chỉ trên một khóa học mới về bảo mật Redis. Hôm nay, chúng tôi vui mừng thông báo về tính khả dụng chung của RU330:Redis Security! Nếu bạn chạy Redis trong phiên bản sản xuất, thì bạn chắc chắn sẽ muốn đăng ký.
Nếu bạn cần thêm sự thuyết phục, vui lòng đọc tiếp.
Tại sao nên sử dụng Redis Security?
Đó là một sự thật phổ quát rằng bất kỳ cơ sở dữ liệu nào đáng giá là muối của nó đều phải được bảo mật. Nhưng làm thế nào làm bạn bảo mật Redis? Nếu chúng tôi hoàn toàn trung thực, sự phát triển ban đầu của Redis thường ưu tiên tính tiện ích và sự ổn định hơn là bảo mật.
Tuy nhiên, điều đó đã thay đổi trong những năm gần đây, đặc biệt là với việc phát hành Redis 6. Giờ đây, bạn có thể thực hiện nguyên tắc ít đặc quyền nhất bằng cách tận dụng danh sách kiểm soát truy cập (ACL) và bạn có thể bảo mật các kết nối Redis của mình bằng cách bật TLS (Lớp truyền tải Bảo mật) mã hóa.
Dựa trên đà phát triển này, chúng tôi muốn tạo ra hướng dẫn chính xác về bảo mật Redis, và RU330:Redis Security là thành quả của nỗ lực đó.
Vậy, ai đang dạy khóa học này? Tại sao bạn nên lấy nó? Và bạn sẽ học gì?
Người hướng dẫn khóa học
Ý tưởng cho Redis Security bắt đầu với Jamie Scott, một Giám đốc sản phẩm Redis tập trung vào bảo mật. Nói chuyện hàng ngày với khách hàng của chúng tôi về bảo mật, Jamie đã tham gia sâu vào việc phát triển tính năng bảo mật cho nguồn mở Redis 6, Redis Enterprise và Redis Enterprise Cloud. Không cần phải nói, Jamie là người hoàn hảo để dẫn đầu nỗ lực này và Jamie là giáo viên chính của phần lớn Khóa học Bảo mật.
Tôi là đồng giáo viên của Jamie. Với tư cách là một kỹ sư phần mềm lâu năm, tác giả kỹ thuật và nhà phát triển chương trình giảng dạy của Đại học Redis có kinh nghiệm, tôi đã giúp Jamie tạo ra điều mà chúng tôi hy vọng là một khóa học hấp dẫn, nhiều thông tin và xứng đáng với thời gian của bạn.
Những gì bạn sẽ học
Khóa học của chúng tôi áp dụng cách tiếp cận toàn diện để giáo dục bảo mật.
Trước khi đi sâu vào bất kỳ chủ đề cụ thể nào của Redis, chúng tôi bắt đầu với một số nguyên tắc bảo mật chung mà chúng tôi nghĩ rằng mọi người nên biết. Chúng tôi đề cập đến các vấn đề cơ bản về bảo mật thông tin, bao gồm bộ ba CIA (tính bảo mật, tính toàn vẹn và tính khả dụng), khả năng phòng thủ chuyên sâu và nguyên tắc ít đặc quyền nhất. Điều này tạo tiền đề cho chuyến tham quan các biện pháp kiểm soát bảo mật cơ bản của Redis. Sau đó trong khóa học, chúng tôi cung cấp giới thiệu kỹ lưỡng về mã hóa và mật mã khóa công khai trước khi chỉ cho bạn chính xác cách triển khai TLS trong việc triển khai Redis của bạn.
Khi giải thích lý do đằng sau các tính năng bảo mật của Redis, mục tiêu của chúng tôi là giúp bạn đưa ra quyết định tốt nhất khi bắt đầu sản xuất. Ví dụ:chúng tôi muốn bạn suy nghĩ kỹ về cấp độ truy cập Redis mà các ứng dụng của bạn thực sự cần. Nếu bạn đang chạy một dịch vụ có công việc duy nhất là trả lại các truy vấn tìm kiếm chạy trên RediSearch, thì bạn sẽ muốn tạo một người dùng ACL cụ thể cho dịch vụ đó. Người dùng ACL mà bạn xác định có thể trông giống như sau:
user searchservice on >secret +FT.SEARCH ~*
Chỉ thị ACL này tạo ra một người dùng có khả năng chạy chính xác một lệnh Redis: FT.SEARCH , truy vấn chỉ mục RediSearch. Đây là một phương pháp hay vì nó làm giảm khả năng ứng dụng của bạn sẽ gây ra bất kỳ thiệt hại nào nếu nó đã từng bị xâm phạm. Ví dụ:ứng dụng của bạn sẽ không thể gọi FLUSHDB , một lệnh sẽ làm mất tất cả dữ liệu của Redis và có thể gây khó chịu cho người dùng của bạn.
Những câu chuyện kinh dị
Bạn có thể coi khóa học này như một loạt các kỹ thuật để tránh một câu chuyện kinh dị của Redis. Trên thực tế, vì Redis được triển khai quá rộng rãi, nó có thể trở thành mục tiêu của tin tặc (loại xấu) và những kẻ nghịch ngợm kịch bản. Như một loại động lực, Jamie và tôi đã có ý tưởng làm một câu chuyện kinh dị Redis khác nhau mỗi tuần trong khóa học. Bạn sẽ tìm hiểu về một số cách khai thác khét tiếng của Redis và những gì có thể làm để tránh chúng.
Nguồn mở Redis
Khóa học này tập trung vào nguồn mở Redis, vì vậy nó có thể áp dụng rộng rãi cho hầu hết người dùng Redis. Đôi khi, chúng tôi sẽ chỉ ra một tính năng của Redis Enterprise hoặc Redis Enterprise Cloud mà bạn có thể cần khi mở rộng quy mô sử dụng Redis trong tổ chức của mình. Nhưng Redis cũng hoàn toàn cam kết với người dùng Redis nguồn mở, vì vậy chúng tôi nhấn mạnh Redis nguồn mở trong khóa học này, giống như chúng tôi làm trong sáu khóa học khác của Đại học Redis hiện có.
Bảo mật việc triển khai Redis của bạn
Bạn có thể tìm hiểu bảo mật của Redis và bạn cũng có thể ngăn chặn hầu hết những kẻ tấn công bằng cách đưa ra các quyết định bảo mật đúng đắn. RU330:Redis Security dạy bạn tất cả những điều này, cùng với một số nguyên tắc mà bạn có thể áp dụng cho bất kỳ hệ thống nào bạn cần bảo mật.
Khóa học có giáo viên hướng dẫn, kéo dài ba tuần, với một tuần nữa cho kỳ thi cuối khóa. Trong quá trình này, tôi sẽ có mặt trong kênh Discord của khóa học để trả lời tất cả các câu hỏi của bạn hoặc chỉ để nói:“Xin chào”. Chúng tôi hy vọng bạn sẽ tham gia cùng chúng tôi!