ในช่วงไม่กี่เดือนที่ผ่านมา ทีมการศึกษาของ Redis ได้ทำงานอย่างหนักในหลักสูตรใหม่ที่ครอบคลุมความปลอดภัยของ Redis วันนี้ เรายินดีที่จะประกาศความพร้อมใช้งานทั่วไปของ RU330:Redis Security! หากคุณใช้งาน Redis ในเวอร์ชันที่ใช้งานจริง คุณจะต้องลงชื่อสมัครใช้อย่างแน่นอน
หากคุณต้องการการโน้มน้าวใจมากกว่านี้ โปรดอ่านต่อ
เหตุใดจึงต้องมี Redis Security
เป็นความจริงสากลที่ฐานข้อมูลใด ๆ ที่คุ้มค่าจะต้องปลอดภัย แต่จะ ทำอย่างไร คุณรักษาความปลอดภัย Redis? หากเราพูดกันตามจริง การพัฒนา Redis ในระยะแรกนั้นมักจะให้ความสำคัญกับยูทิลิตี้และความเสถียรมากกว่าความปลอดภัย
ที่มีการเปลี่ยนแปลงในช่วงไม่กี่ปีที่ผ่านมา โดยเฉพาะอย่างยิ่งกับการเปิดตัว Redis 6 ตอนนี้คุณสามารถนำหลักการของสิทธิพิเศษน้อยที่สุดไปใช้โดยใช้ประโยชน์จากรายการควบคุมการเข้าถึง (ACL) และคุณสามารถรักษาความปลอดภัยการเชื่อมต่อ Redis ของคุณโดยการเปิดใช้งาน TLS (Transport Layer) ความปลอดภัย) การเข้ารหัส
จากโมเมนตัมนี้ เราต้องการสร้างคู่มือขั้นสุดท้ายเกี่ยวกับความปลอดภัยของ Redis และ RU330:Redis Security เป็นผลพวงของความพยายามนั้น
แล้วใครเป็นคนสอนหลักสูตรนี้? ทำไมคุณควรเอามัน? แล้วจะเรียนอะไร?
ผู้สอนหลักสูตร
แนวคิดสำหรับ Redis Security เริ่มต้นจาก Jamie Scott ผู้จัดการผลิตภัณฑ์ Redis ที่เน้นเรื่องความปลอดภัย เจมี่พูดกับลูกค้าของเราทุกวันเกี่ยวกับความปลอดภัยอย่างลึกซึ้งในการพัฒนาฟีเจอร์ความปลอดภัยสำหรับโอเพ่นซอร์ส Redis 6, Redis Enterprise และ Redis Enterprise Cloud ไม่จำเป็นต้องพูดว่า เจมี่เป็นคนที่สมบูรณ์แบบที่จะเป็นผู้นำในความพยายามนี้ และเจมี่เป็นครูหลักในหลักสูตรการรักษาความปลอดภัยส่วนใหญ่
ฉันเป็นครูร่วมของเจมี่ ในฐานะวิศวกรซอฟต์แวร์มาอย่างยาวนาน ผู้เขียนด้านเทคนิค และนักพัฒนาหลักสูตร Redis University ที่มีประสบการณ์ ฉันได้ช่วย Jamie สร้างสิ่งที่เราหวังว่าจะเป็นหลักสูตรที่ให้ข้อมูลและมีส่วนร่วมซึ่งคุ้มค่ากับเวลาของคุณ
สิ่งที่คุณจะได้เรียนรู้
หลักสูตรของเราใช้แนวทางแบบองค์รวมเพื่อการศึกษาด้านความปลอดภัย
ก่อนเจาะลึกหัวข้อเฉพาะของ Redis เราเริ่มต้นด้วยหลักการด้านความปลอดภัยทั่วไปที่เราคิดว่าทุกคนควรรู้ เราครอบคลุมพื้นฐานของการรักษาความปลอดภัยของข้อมูล ซึ่งรวมถึง CIA triad (การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน) การป้องกันในเชิงลึก และหลักการของสิทธิพิเศษน้อยที่สุด การทำเช่นนี้จะเป็นการเปิดฉากทัวร์ชมการควบคุมความปลอดภัยพื้นฐานของ Redis ต่อมาในหลักสูตรนี้ เราจะแนะนำการเข้ารหัสและการเข้ารหัสคีย์สาธารณะอย่างละเอียดก่อนที่จะแสดงให้คุณเห็นถึงวิธีการปรับใช้ TLS ในการปรับใช้ Redis ของคุณอย่างละเอียด
ในการอธิบายเหตุผลเบื้องหลังฟีเจอร์ความปลอดภัยของ Redis เป้าหมายของเราคือช่วยให้คุณตัดสินใจได้ดีที่สุดเมื่อคุณเริ่มใช้งานจริง ตัวอย่างเช่น เราต้องการให้คุณคิดให้ถี่ถ้วนเกี่ยวกับระดับการเข้าถึง Redis ที่แอปพลิเคชันของคุณต้องการจริงๆ หากคุณกำลังใช้บริการที่มีหน้าที่ในการส่งคืนคำค้นหาที่ทำงานโดยใช้ RediSearch คุณจะต้องสร้างผู้ใช้ ACL เฉพาะสำหรับบริการนั้น ผู้ใช้ ACL ที่คุณกำหนดอาจมีลักษณะดังนี้:
user searchservice on >secret +FT.SEARCH ~*
คำสั่ง ACL นี้สร้างผู้ใช้ที่สามารถเรียกใช้คำสั่ง Redis ได้เพียงคำสั่งเดียว:FT.SEARCH ซึ่งค้นหาดัชนี RediSearch นี่เป็นแนวทางปฏิบัติที่ดีเพราะจะช่วยลดโอกาสที่แอปพลิเคชันของคุณจะสร้างความเสียหายได้หากถูกบุกรุก ตัวอย่างเช่น แอปพลิเคชันของคุณจะไม่สามารถเรียก FLUSHDB คำสั่งที่จะลบข้อมูล Redis ทั้งหมดและอาจทำให้ผู้ใช้ของคุณรู้สึกไม่สบายใจ
เรื่องสยองขวัญ
คุณสามารถคิดว่าหลักสูตรนี้เป็นชุดเทคนิคในการหลีกเลี่ยงเรื่องราวสยองขวัญของ Redis อันที่จริง เนื่องจากมีการใช้งาน Redis อย่างกว้างขวาง จึงสามารถตกเป็นเป้าหมายของแฮกเกอร์ (ตัวร้าย) และสคริปต์ตัวเล็กได้ เจมี่กับฉันมีความคิดที่จะนำเสนอเรื่องราวสยองขวัญของ Redis ที่แตกต่างกันในแต่ละสัปดาห์ในหลักสูตรเพื่อเป็นแรงจูงใจ คุณจะได้เรียนรู้เกี่ยวกับการหาประโยชน์จาก Redis ที่น่าอับอายและสิ่งที่ควรทำเพื่อหลีกเลี่ยงการบุกรุก
โอเพ่นซอร์ส Redis
หลักสูตรนี้เน้นที่โอเพ่นซอร์ส Redis ดังนั้นจึงใช้ได้กับผู้ใช้ Redis ส่วนใหญ่ในวงกว้าง ในบางครั้ง เราจะชี้ให้เห็นคุณลักษณะของ Redis Enterprise หรือ Redis Enterprise Cloud ซึ่งคุณอาจต้องการเมื่อคุณปรับขนาดการใช้งานใน Redis ในองค์กรของคุณ แต่ Redis มุ่งมั่นอย่างเต็มที่ต่อผู้ใช้ Redis แบบโอเพนซอร์สเช่นกัน ดังนั้นเราจึงเน้นย้ำโอเพนซอร์ส Redis ในหลักสูตรนี้ เช่นเดียวกับที่เราทำในหลักสูตร Redis University อีก 6 หลักสูตรที่มีให้บริการในปัจจุบัน
รักษาความปลอดภัยการปรับใช้ Redis ของคุณ
คุณ สามารถ เรียนรู้ความปลอดภัยของ Redis และคุณยังสามารถขัดขวางผู้โจมตีส่วนใหญ่ได้ด้วยการตัดสินใจด้านความปลอดภัยที่ถูกต้อง RU330:Redis Security จะสอนคุณเกี่ยวกับเรื่องนี้ทั้งหมด พร้อมด้วยหลักการจำนวนหนึ่งที่คุณสามารถนำไปใช้กับระบบใดๆ ที่คุณต้องการเพื่อความปลอดภัย
หลักสูตรนี้จัดทำโดยผู้สอนโดยใช้เวลาสามสัปดาห์ และอีกหนึ่งสัปดาห์สำหรับการสอบปลายภาค ระหว่างทางฉันจะอยู่ในช่อง Discord ของหลักสูตรเพื่อตอบคำถามของคุณทั้งหมดหรือเพียงแค่พูดว่า "สวัสดี" เราหวังว่าคุณจะเข้าร่วมกับเรา!