近日，一些用戶反饋，使用的開源 Redis 中新增了幾個未知來源的 Key。通過分析發現，用戶使用的開源 Redis 沒有設置密碼，很可能是遭到了 Redis 擴散病毒的攻擊，表面上只是新增了幾個未知的 key，實際上可能面臨數據庫信息丟失和記錄篡改的風險。

作為一個重視技術的團隊，我們始終將用戶信息安全和使用體驗放在第一位。對于這次用戶使用開源 Redis 遇到的問題，我們盤點了 GaussDB(for Redis)精心打造的數據安全保護特性：

1. 賬號管理、數據庫權限隔離；

2. 高危命令禁用、重命名；

3. 安全 IP/網段開啟免密登錄；

4. 實例回收站。

基于這些企業級安全特性，GaussDB(for Redis)為用戶提供了穩定、可靠、便捷的使用體驗，全力為用戶的數據安全保駕護航。

特性一：賬號管理+權限隔離，確保數據強一致

單個 GaussDB(for Redis)實例提供多達 6w+獨立的數據庫供用戶使用，用戶可以根據業務和存儲場景使用不同的 DB 存儲，從而實現數據分離。多 DB 的隔離儲存功能為業務帶來了極大的方便，但是錯誤的使用也可能會導致問題。

設想以下場景：

某電商平臺提供多種搶購功能，每個活動每個用戶僅能參加一次。為了業務方便，直接使用一個新的 DB 進行新上線搶購業務的數據存儲。由于使用同一個賬號登錄，粗心的同事復用了之前的代碼，忘記或錯誤配置新業務使用的數據庫 ID 信息，將數據寫入其他搶購場景中，干擾其他搶購場景的正常使用。

這里要隆重介紹 GaussDB(for Redis)的賬號管理功能，數據庫實例的每個賬號、數據庫的權限彼此隔離，從根本上防止這種沖突場景的出現。

數據庫管理控制臺中，可以創建對特定數據庫、具有讀寫/只讀權限的賬號：

回到前面的場景，我們可以創建如下賬號：

dbuser_1 僅對 DB1 擁有讀寫權限

dbuser_2 對 DB2-DB5 擁有讀寫權限

dbuser_3 對所有數據庫均有只讀權限

基于上述賬號管理配置，通過 GaussDB(for Redis)的賬號管理+權限隔離功能的雙重加持，即使 dbuser_1 使用方誤操作 DB2 的數據，GaussDB(for Redis)將對錯誤操作進行攔截，從而實現賬戶和數據的隔離管理，保障用戶的數據安全。

探索賬戶管理的額外信息和功能，請訪問華為云官網《賬號管理》頁面：https://support.huaweicloud.com/redisug-nosql/nosql_03_0237.html

特性二：高危命令重命名，命令安全又安心

每個使用者在操作數據庫時，都會戰戰兢兢，尤其害怕一個命令直接刪庫，或者執行時間過長，對正常業務執行造成影響。之前曾遇到客戶在業務高峰期通過 keys 命令統計流量信息，此類高危命令執行時間過長，運維操作反而阻塞了正常業務的進行。

那么，怎么從根本上規避這種問題呢？

GaussDB(for Redis)提供命名重命名功能，可以將高危命令禁用或進行相應重命名。如，我們可以將高危 flushall、flushdb 以及 keys 命令禁用，修改 hgetall、hkeys、hvals、smembers 命令的名稱，防止命令被錯誤調用執行，給業務和數據安全帶來影響。

命令禁用和重命名的具體使用方式，請訪問華為云官網《命名重命名》頁面：https://support.huaweicloud.com/redisug-nosql/nosql_10_0053.html

特性三：安全 IP 輸密碼太麻煩？免密登錄幫忙解決

通過完善的賬戶管理、精細粒度的權限隔離，GaussDB(for Redis)已經實現萬無一失了。可能有人會產生一個疑問，如果我們的服務器可以保證足夠安全，是否可以省略掉輸入密碼這個步驟呢？

當然可以。GaussDB(for Redis)可以對用戶信任的指定 IP 或網段設置免密訪問功能。例如，我們可以設置 IP 為 10.0.0.216 以及網段為 192.168.1.0/24 的免密訪問功能，在機器上對數據庫實例的訪問就不需要密碼進行驗證。

當然，互聯網上對 IP 和網段的信任是相對的，因此 GaussDB(for Redis)禁止對全局網段開始免密登錄功能，在合理范圍內提供用戶操作便捷性的同時，對用戶數據安全的保障是 GaussDB(for Redis)的重中之重。

關于免密 IP 登錄的具體說明，請訪問華為云官網《開啟免密訪問》一節：https://support.huaweicloud.com/redisug-nosql/nosql_03_0236.html。

特性四：誤刪實例心慌慌？實例回收站來幫忙

和實例中誤操作 flushall 等命令齊名、最令使用者聞風喪膽的，便是將實例誤刪了。雖然實例刪除功能藏在隱秘的角落里，也需要用戶 double check，但總還是有誤刪除的可能在時刻敲打著用戶。而且，近年來惡意刪庫新聞屢見不鮮，如何保障被誤刪或者惡意刪除的數據庫的信息安全呢？

信息安全當然、也必須要保證！GaussDB(for Redis)提供實例回收站的企業級特性，在實例回收站，可以看到最近 7 天內至多 100 個已刪除的數據庫實例，不幸誤刪，可以一鍵重建，數據還原，絲般順滑，和數據丟失說拜拜。

GaussDB (for Redis)通過賬號管理、權限隔離、高危命令禁刪/重命名、安全 IP 免密登錄、實例回收站等企業級特性，保障客戶數據庫數據和信息安全，為客戶的業務保駕護航。

審核編輯 黃宇