Le cours de sécurité Redis est désormais disponible à l’Université Redis

Le cours de sécurité Redis est désormais disponible à l’Université Redis

Depuis quelques mois, l’équipe pédagogique Redis travaille d’arrache-pied sur un nouveau cours portant sur la sécurité Redis. Aujourd’hui, nous sommes heureux d’annoncer la disponibilité générale de RU330 : Sécurité Redis! Si vous exécutez Redis en production, vous voudrez certainement S’inscrire.

Si vous avez besoin de plus de persuasion, alors lisez la suite.

Pourquoi Redis Security ?

C’est une vérité universelle que toute base de données digne de ce nom doit être sécurisée. Mais comment fais vous sécurisez Redis ? Pour être tout à fait honnête, les premiers développements de Redis ont généralement donné la priorité à l’utilité et à la stabilité plutôt qu’à la sécurité.

Cela a changé ces dernières années, cependant, surtout avec la sortie de Redis 6. Maintenant, vous pouvez implémenter le principe du moindre privilège en profitant des listes de contrôle d’accès (ACL), et vous pouvez sécuriser vos connexions Redis en activation de TLS chiffrement (Transport Layer Security).

Forts de cet élan, nous voulions créer le guide définitif de la sécurité Redis, et bien, RU330 : Sécurité Redis est le fruit de cet effort.

Alors, qui enseigne ce cours ? Pourquoi devriez-vous le prendre? Et qu’allez-vous apprendre ?

Instructeurs de cours

L’idée de Redis Security a commencé avec Jamie Scott, un chef de produit Redis axé sur la sécurité. Parlant quotidiennement avec nos clients de la sécurité, Jamie a été profondément impliqué dans le développement de fonctionnalités de sécurité pour l’open source Redis 6, Redis Enterprise et Redis Enterprise Cloud. Inutile de dire que Jamie était la personne idéale pour diriger cet effort, et Jamie est l’enseignant principal de la majeure partie du cours de sécurité.

Je suis le co-professeur de Jamie. En tant qu’ingénieur logiciel de longue date, auteur technique et université Redis expérimentée programme d’études développeurj’ai aidé Jamie à créer ce que nous espérons être un cours intéressant et informatif qui vaut bien votre temps.

Ce que vous apprendrez

Notre cours adopte une approche holistique de l’éducation à la sécurité.

Avant d’aborder des sujets spécifiques à Redis, nous commençons par quelques principes généraux de sécurité que nous pensons que tout le monde devrait connaître. Nous couvrons les bases de la sécurité de l’information, y compris la triade de la CIA (confidentialité, intégrité et disponibilité), défense en profondeuret le principe du moindre privilège. Cela ouvre la voie à une visite guidée des contrôles de sécurité de base de Redis. Plus tard dans le cours, nous fournissons une introduction approfondie au chiffrement et à la cryptographie à clé publique avant de vous montrer exactement comment implémenter TLS dans votre déploiement Redis.

En expliquant le raisonnement derrière les fonctionnalités de sécurité de Redis, notre objectif est de vous aider à prendre les meilleures décisions lorsque vous passez en production. Par exemple, nous voulons que vous réfléchissiez sérieusement au niveau d’accès Redis dont vos applications ont réellement besoin. Si vous exécutez un service dont le seul travail consiste à renvoyer les requêtes de recherche exécutées sur RediRecherche, vous devrez alors créer un utilisateur ACL spécifique pour ce service. L’utilisateur ACL que vous définissez peut ressembler à ceci :

user searchservice on >secret +FT.SEARCH ~*

Cette directive ACL crée un utilisateur capable d’exécuter exactement une commande Redis : FT.RECHERCHE, qui interroge un index RediSearch. Il s’agit d’une bonne pratique car elle réduit la probabilité que votre application cause des dommages si jamais elle est compromise. Par exemple, votre application ne pourra pas appeler FLUSHDBune commande qui supprimerait toutes les données Redis et causerait probablement un certain inconfort à vos utilisateurs.

Histoire d’horreur

Vous pouvez considérer ce cours comme une série de techniques pour éviter une histoire d’horreur Redis. En fait, comme Redis est déployé à grande échelle, il peut être la cible de les pirates (le mauvais genre) et enfants de script. Comme une sorte de motivation, Jamie et moi avons eu l’idée de présenter une histoire d’horreur Redis différente chaque semaine dans le cours. Vous découvrirez certains exploits notoires de Redis et ce qui aurait pu être fait pour les éviter.

image1 2
Jamie Scott racontant une histoire d’horreur Redis.

Redis open source

Ce cours se concentre sur Redis open source, il est donc largement applicable à la plupart des utilisateurs de Redis. De temps en temps, nous soulignerons une caractéristique de Entreprise Redis ou Cloud d’entreprise Redis, dont vous pourriez avoir besoin pour faire évoluer l’utilisation de Redis dans votre organisation. Mais Redis s’engage également pleinement envers les utilisateurs Redis open source, nous mettons donc l’accent sur Redis open source dans ce cours, tout comme nous le faisons dans l’autre six cours de l’Université Redis disponible aujourd’hui.

Sécurisez vos déploiements Redis

Tu boîte Apprenez la sécurité Redis et vous pouvez également contrecarrer la plupart des attaquants en prenant les bonnes décisions en matière de sécurité. RU330 : Sécurité Redis vous enseigne tout cela, ainsi qu’un certain nombre de principes que vous pouvez appliquer à tout système que vous devez sécuriser.

Le cours est rythmé par un instructeur et dure trois semaines, avec une semaine de plus pour l’examen final. En cours de route, je serai disponible dans le Canal Discord bien sûr pour répondre à toutes vos questions ou simplement pour dire “Bonjour”. Nous espérons que vous Rejoignez-nous!

Development Source

Related Posts

RLEC 4.2.1 apporte des contrôles granulaires à la haute disponibilité et aux performances

RLEC 4.2.1 apporte des contrôles granulaires à la haute disponibilité et aux performances

Comment HolidayMe utilise Redis Enterprise comme base de données principale

Comment HolidayMe utilise Redis Enterprise comme base de données principale

Annonce de RedisGears 1.0 : un moteur sans serveur pour Redis

Annonce de RedisGears 1.0 : un moteur sans serveur pour Redis

Clés Redis dans la RAM |  Redis

Clés Redis dans la RAM | Redis

No Comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *