지난 몇 개월 동안 Redis 교육팀은 Redis 보안을 다루는 새로운 과정을 열심히 준비했습니다. 오늘 RU330:Redis Security의 일반 공급을 발표하게 된 것을 기쁘게 생각합니다! 프로덕션 환경에서 Redis를 실행한다면 반드시 가입하고 싶을 것입니다.
더 설득력이 필요하시면 계속 읽어주세요.
Redis 보안이 필요한 이유
가치가 있는 모든 데이터베이스는 안전해야 한다는 것은 보편적인 진리입니다. 하지만 어떻게 당신은 Redis를 보호합니까? 솔직히 말해서 Redis의 초기 개발은 일반적으로 보안보다 유틸리티와 안정성을 우선시했습니다.
하지만 최근 몇 년 동안 특히 Redis 6이 출시되면서 변경되었습니다. 이제 ACL(액세스 제어 목록)을 활용하여 최소 권한 원칙을 구현할 수 있으며 TLS(전송 계층)를 활성화하여 Redis 연결을 보호할 수 있습니다. 보안) 암호화.
이러한 추진력을 바탕으로 Redis 보안에 대한 최종 가이드를 만들고 싶었고, RU330:Redis Security는 그 노력의 결실입니다.
그렇다면 이 과정은 누가 가르치는가? 왜 복용해야 합니까? 그리고 무엇을 배우게 될까요?
과정 강사
Redis 보안에 대한 아이디어는 보안에 중점을 둔 Redis 제품 관리자인 Jamie Scott에서 시작되었습니다. Jamie는 매일 고객과 보안에 대해 이야기하면서 오픈 소스 Redis 6, Redis Enterprise 및 Redis Enterprise Cloud의 보안 기능 개발에 깊이 관여해 왔습니다. 말할 필요도 없이 Jamie는 이러한 노력을 주도할 완벽한 사람이었고 Jamie는 대부분의 보안 과정의 수석 교사입니다.
저는 Jamie의 공동 교사입니다. 오랜 소프트웨어 엔지니어이자 기술 저자이자 경험 많은 Redis University 커리큘럼 개발자로서 저는 Jamie가 시간을 들일 가치가 있는 매력적이고 유익한 과정을 만들도록 도와왔습니다.
배울 내용
우리 과정은 보안 교육에 대한 전체적인 접근 방식을 취합니다.
Redis 관련 주제를 다루기 전에 모든 사람이 알아야 한다고 생각하는 몇 가지 일반적인 보안 원칙부터 시작합니다. CIA 트라이어드(기밀성, 무결성, 가용성), 심층 방어, 최소 권한 원칙을 포함한 정보 보안의 기본 사항을 다룹니다. 이것은 Redis의 기본 보안 제어를 둘러보기 위한 단계를 설정합니다. 과정 후반부에서는 Redis 배포에서 TLS를 구현하는 방법을 정확히 보여주기 전에 암호화 및 공개 키 암호화에 대한 철저한 소개를 제공합니다.
Redis의 보안 기능에 대한 이유를 설명할 때 우리의 목표는 프로덕션 단계로 이동할 때 최상의 결정을 내리는 데 도움이 되는 것입니다. 예를 들어, 애플리케이션이 실제로 필요한 Redis 액세스 수준에 대해 깊이 생각하기를 바랍니다. RediSearch에 대해 실행된 검색 쿼리를 반환하는 것이 유일한 작업인 서비스를 실행하는 경우 해당 서비스에 대한 특정 ACL 사용자를 만들고 싶을 것입니다. 정의한 ACL 사용자는 다음과 같을 수 있습니다.
user searchservice on >secret +FT.SEARCH ~*
이 ACL 지시문은 정확히 하나의 Redis 명령을 실행할 수 있는 사용자를 만듭니다:FT.SEARCH , RediSearch 인덱스를 쿼리합니다. 이는 애플리케이션이 손상될 경우 애플리케이션이 손상을 입을 가능성을 줄이기 때문에 좋은 방법입니다. 예를 들어, 애플리케이션은 FLUSHDB를 호출할 수 없습니다. , 모든 Redis 데이터를 삭제하고 사용자에게 불편을 줄 수 있는 명령입니다.
공포 이야기
이 과정은 Redis 공포 이야기를 피하기 위한 일련의 기술로 생각할 수 있습니다. 사실, Redis는 너무 광범위하게 배포되어 있기 때문에 해커(나쁜 종류)와 스크립트 키디의 표적이 될 수 있습니다. 일종의 동기 부여로 Jamie와 저는 코스에서 매주 다른 Redis 공포 이야기를 제공할 생각을 했습니다. 악명 높은 Redis 익스플로잇과 이를 방지하기 위해 취해야 할 조치에 대해 알아보세요.
오픈 소스 Redis
이 과정은 오픈 소스 Redis에 중점을 두고 있으므로 대부분의 Redis 사용자에게 광범위하게 적용할 수 있습니다. 조직에서 Redis의 사용을 확장할 때 필요할 수 있는 Redis Enterprise 또는 Redis Enterprise Cloud의 기능을 언급하는 경우가 있습니다. 그러나 Redis는 오픈 소스 Redis 사용자에게도 최선을 다하고 있으므로, 현재 제공되는 다른 6개의 Redis University 과정과 마찬가지로 이 과정에서도 오픈 소스 Redis를 강조합니다.
Redis 배포 보안
당신은 할 수 있습니다 Redis 보안을 배우고 올바른 보안 결정을 내림으로써 대부분의 공격자를 저지할 수도 있습니다. RU330:Redis Security는 이 모든 것과 보안이 필요한 모든 시스템에 적용할 수 있는 여러 원칙을 알려줍니다.
이 과정은 강사 진도에 따라 진행되며 3주 동안 진행되며 최종 시험을 위해 한 주 더 진행됩니다. 그 과정에서 코스 Discord 채널에서 모든 질문에 답하거나 "안녕하세요"라고 말할 수 있습니다. 우리는 당신이 우리와 함께하기를 바랍니다!