数据安全没保证?GaussDB(for Redis)为你保驾护航

数据安全,保证,gaussdb,for,redis,保驾护航 · 浏览次数 : 55

小编点评

**GaussDB (for Redis) 数据安全保护特性** **账号管理和权限隔离:** - 每台数据库拥有独立账号管理,权限隔离,防止并发操作导致数据错误。 **高危命令禁用:** - 高危命令如 `flushall`、`flushdb` 和 `keys` 都会被禁用,避免直接删除或更改数据库内容。 **安全IP免密登录:** - 可以设置安全IP地址或网段,仅允许指定IP或网络访问数据库实例。 **实例回收站:** - 在实例删除之前提供回收站,允许用户快速恢复数据。 **其他优势:** - 高性能和可扩展性。 - 丰富的功能和可扩展性。 - 安全保障至关重要。

正文

摘要:GaussDB (for Redis)通过账号管理、权限隔离、高危命令禁删/重命名、安全IP免密登录、实例回收站等企业级特性,保障用户数据库数据和信息安全。

本文分享自华为云社区《数据安全没保证?GaussDB(for Redis)为你保驾护航》,作者: GaussDB 数据库。

近日,一些用户反馈使用的开源Redis中新增了几个未知来源的Key。工程师小伙伴分析发现,用户使用的开源Redis没有设置密码,很可能是遭到了Redis扩散病毒的攻击,表面上只是新增了几个未知的key,实际上甚至可能面临数据库信息丢失记录篡改的问题!

作为一个重视技术的团队,保障用户的信息安全和使用体验始终是第一位的。对这次用户使用开源Redis遇到的问题,团队成员总结分析,列举出GaussDB (for Redis)精心打造的数据安全保护特性:

  • 账号管理、数据库权限隔离;
  • 高危命令禁用、重命名;
  • 安全IP/网段开启免密登录;
  • 实例回收站。

基于这些企业级安全特性,GaussDB (for Redis)在为用户提供稳定、可靠、便捷的使用体验的同时,全力为用户的数据安全保驾护航。

特性一:账号管理+权限隔离,数据不乱轻松松

单个GaussDB (for Redis)实例提供多达6w+独立的数据库供用户使用,用户可以根据业务和存储场景使用不同的DB存储,从而实现数据分离。多DB的隔离储存功能为业务带来了极大的方便,但是错误的使用也可能会导致问题。

设想以下场景:

某电商平台提供多种抢购功能,每个活动每个用户仅能参加一次。为业务方便,直接使用一个新的DB进行新上线抢购业务的数据存储。由于使用同一个账号登录,粗心的同事复用了之前的代码,忘记或错误配置新业务使用的数据库ID信息,将数据写入其他的抢购场景中,干扰其他抢购场景的正常使用。

铛铛铛,这里要隆重介绍GaussDB (for Redis)的账号管理功能,数据库实例的每个账号、数据库的权限彼此隔离,从根本上防止这种冲突场景的出现。

数据库管理控制台中,可以创建对特定数据库、具有读写/只读权限的账号:

回到前面的场景,我们可以创建如下账号:

  • dbuser_1仅对DB1拥有读写权限
  • dbuser_2对DB2-DB5拥有读写权限
  • dbuser_3对所有数据库均有只读权限

基于上述账号管理配置,通过GaussDB(for Redis)的账号管理+权限隔离功能的双重加持,即使dbuser_1使用方误操作DB2的数据,GaussDB(for Redis)将对错误操作进行拦截,从而实现账户和数据的隔离管理,保障用户的数据安全。

探索账户管理的额外信息和功能,请访问华为云官网《账号管理》页面:https://support.huaweicloud.com/redisug-nosql/nosql_03_0237.html。

特性二:高危命令重命名,命令安全又安心

每个使用者在操作数据库时,都会战战兢兢,尤其害怕一个命令直接删库,或者执行时间过长,对正常业务执行造成影响。之前曾遇到客户在业务高峰期通过keys命令统计流量信息,此类高危命令执行时间过长,运维操作反而阻塞了正常业务的进行。

那么,怎么从根本上规避这种问题呢?

GaussDB (for Redis)提供命名重命名功能,可以将高危命令禁用或进行相应重命名。如,我们可以将高危flushall、flushdb以及keys命令禁用,修改hgetall, hkeys, hvals, smembers命令的名称,防止命令被错误调用执行,给业务和数据安全带来影响:

命令禁用和重命名的具体使用方式,请访问华为云官网《命名重命名》页面:https://support.huaweicloud.com/redisug-nosql/nosql_10_0053.html

特性三:安全IP输密码太麻烦?免密登录帮你解决

通过完善的账户管理、精细粒度的权限隔离,GaussDB (for Redis)已经万无一失。那么有同学要问了,如果我们的服务器可以保证足够安全,是否可以省略掉输入密码这个步骤呢?

当然可以。GaussDB (for Redis)可以对用户信任的指定IP或网段设置免密访问功能。例如,我们可以设置IP为10.0.0.216以及网段为192.168.1.0/24的免密访问功能,在机器上对数据库实例的访问就不需要密码进行验证:

当然,互联网上对IP和网段的信任是相对的,因此GaussDB(for Redis)禁止对全局网段开始免密登录功能,在合理范围内提供用户操作便捷性的同时,对用户数据安全的保障是GaussDB(for Redis)的重中之重。

关于免密IP登录的具体说明,请访问华为云官网《开启免密访问》一节:https://support.huaweicloud.com/redisug-nosql/nosql_03_0236.html。

特性四:误删实例心慌慌?实例回收站来帮忙

和实例中误操作flushall等命令齐名、最令使用者闻风丧胆的,便是将实例误删了。虽然实例删除功能藏在隐秘的角落里,也需要用户double check,但总还是有误删除的可能在时刻敲打着用户。而且,近年来恶意删库新闻屡见不鲜,如何保障被误删或者恶意删除的数据库的信息安全呢?

信息安全当然、也必须要保证!GaussDB (for Redis)提供实例回收站的企业级特性,实例误删无法恢复?不存在的!在实例回收站,可以看到最近7天内至多100个已删除的数据库实例,不幸误删?一键重建,数据还原,丝般顺滑,和数据丢失说拜拜。

总结

GaussDB (for Redis)通过账号管理、权限隔离、高危命令禁删/重命名、安全IP免密登录、实例回收站等企业级特性,保障用户数据库数据和信息安全。GaussDB(for Redis)提供稳定、可靠、安全的数据库产品使用体验,为客户的业务成功保驾护航。

附录

本文作者:

华为云数据库GaussDB(for Redis)团队

杭州/西安/深圳简历投递:

yuwenlong4@huawei.com

更多产品信息,欢迎访问官方博客:

bbs.huaweicloud.com/blogs/248875

 

点击关注,第一时间了解华为云新鲜技术~

与数据安全没保证?GaussDB(for Redis)为你保驾护航相似的内容:

数据安全没保证?GaussDB(for Redis)为你保驾护航

摘要:GaussDB (for Redis)通过账号管理、权限隔离、高危命令禁删/重命名、安全IP免密登录、实例回收站等企业级特性,保障用户数据库数据和信息安全。 本文分享自华为云社区《数据安全没保证?GaussDB(for Redis)为你保驾护航》,作者: GaussDB 数据库。 近日,一些用

个人数据保全计划:(1) NAS开箱

前言 从几年前第一个硬盘故障导致参赛的文件丢失之后,我就开始意识到数据安全的重要性,开始用各种云盘做备份,当时还不是百度云一家独大,我们也都没意识到网盘备份是极其不靠谱的行为,直到因为某些不可抗力因素,一夜之间所有网盘都宣布停服,这时才意识到,数据始终是掌握在自己手中才安全可控。 随着数据量增大,我

数据安全始终是一个不可忽视的问题

最近,自己的一个测试环境,遭遇了hacker攻击。 具体是oracle用户被攻破了,原因是该环境通过DDNS连接到了外网,而因为只是测试,没有注意安全防范,设置的口令过于简单。 下面记录下,也作为警醒。 1.发现资源使用异常 CPU告警,使用top去查询资源使用情况发现CPU使用率非常高,达到94%

冯登国院士:数据安全新方向——数据使用安全

链接: 冯登国院士:数据安全新方向——数据使用安全 近日,在2023中关村论坛——数据安全治理与发展分论坛上,冯登国院士做了主题为:《数据安全新方向:数据使用安全》的分享,以下是分享全文。 各位专家,各位嘉宾,大家好: 很高兴有这个机会与大家进行交流一下对数据安全的一些认识,发言题目是《数据安全新方

学习文章:“浅析数据安全之密态化计算”

本文学习文章:“浅析数据安全之密态化计算” 数据安全的必要性 数据安全应保证数据产生、存储、传输、访问、使用、销毁、公开等全生命周期安全,并且需要做到保证数据处理过程的保密性、完整性、可用性。如何安全采集用户数据,并且实现安全地对用户数据进行使用,主要包括在整个数据周期中保证安全,即在数据的生产、传

如何实现云数据治理中的数据安全?

云计算被定义为计算资源的共享池,已经在不同的应用领域广泛部署和使用。在云计算中,数据治理在提高整体性能和确保数据安全方面发挥着至关重要的作用。本研究从管理和技术应用两方面探讨如何实现云数据治理中的数据

gRPC如何保障数据安全传输

## 什么是 gRPC? gRPC 是由 Google 开发的高性能、开源的 RPC(Remote Procedure Call)框架,用于在客户端和服务器之间进行通信。它基于 Protocol Buffers(protobuf)进行消息序列化和反序列化,支持多种通信协议,如 HTTP/2、TCP

辅助测试和研发人员的一款小插件【数据安全】

## 一、为什么要做一款这样的小插件 数据,一直在思考如何让数据更安全的流转和服务于客户,围绕这样的想法,我们做过许多方面的扩展。我们落地了服务端的数据切片支持场景化的设计,实现了基于JDBC协议对SQL的拦截与切片,实现了在应用层的全链路数据库审计方案和实现,实现了WEB端明暗水印和文档水印等等,

[转帖]RabbitMQ 消费者回执和发布确认

为了保证数据安全,消费者和生产者的回执(ack)都是非常重要的。 由于我们无法保证消息都能像我们期望的那样,正常到达另一端或者被 Consumer 消费成功。因此,publisher 和 consumer 都需要一种机制,来确保消息投递成功了和消息消费成功了。 在 AMQP 0-9-1 中,消费者处

数据库安全

学习&&转载文章:隐私计算安全基座-数据库安全 数据安全 用数据生命周期的全链路思考,可以得出如下的结论: 数据存储态安全:对数据的存储安全负责,保障数据的静存储态安全,不泄露。 数据传输态安全:对数据的转移安全负责,保障数据的转移态安全,不泄露。 数据计算态安全:对数据的动态计算的安全负责,保障数