【摘要】GaussDB(for Redis)安全性性能体验 1.GaussDB 数据库介绍高斯,德语:Gauß;,英语:Gauss。高斯的生平是 1777 年—1855。大略是中国清朝乾隆四十二年到咸丰五年。他和阿基米德、艾萨克·牛顿并称世界公认的三大驰名数学家。高斯被认为是历史上最重要的数学家之一,并享有“数学王子”之称,是微分几何学的始祖(高斯、雅诺斯、罗巴切夫斯基)之一。2019 年 5 月 15 日,华为用大数学家高斯的名字正式面向寰球推出了 GaussDB 数据库。咱们在开源的抉择中曾经有了 mysql 等数据库,那华为推出的 GaussDB 又解决了哪些 mysql 类数据库没有解决的问题呢。咱们通过华为本人的定位能够看到,华为将 GaussDB 定位于 AI-Native 数据库而非 Cloud-Native 数据库,这不仅是一种升维,更是源于 GaussDB 实现的两大革命性冲破:其一,AI in DB,首次将 AI 技术引入了 GaussDB 全系列产品内核中,实现自运维、自治理、自调优、故障自诊断和自愈,调优性能比业界晋升 60% 以上。其二,DB for AI,GaussDB 数据库适配 AI 的运行。用户能够通过数据库语言来不便地应用 AI,升高 AI 应用门槛,实现普惠 AI。通过几年的市场测验,在 2022 年 6 月的国产化数据库排行榜上,高斯开源的 oepnGauss 和 GaussDB 双双进入前五。
上面咱们通过试用 GaussDB(for Redis),来看一下在安全性方面,GaussDB(for Redis)有哪些配置和安全性如何。2.GaussDB(for Redis)的安全性设置 2.1 明码平安设置有人可能会说新建一个数据库,明码设置这不是惯例操作,有什么值得说的。要晓得 GaussDB(for Redis)是对标 redis 的,因为 redis 自身并没有强制必须的明码配置和明码负责度的配置,很多线上环境的 redis 齐全就是裸奔,有 IP 和端口就能够进行连贯,Redis 因配置不当能够未受权拜访。攻击者无需认证拜访到外部数据,可导致敏感信息泄露,也能够歹意执行 flushall 来清空所有数据。攻击者可通过 EVAL 执行 lua 代码,或通过数据备份性能往磁盘写入后门文件。如果 Redis 以 root 身份运行,能够给 root 账户写入 SSH 公钥文件,间接通过 SSH 登录受益服务器。所以应用 GaussDB(for Redis)解决了 redis 自身自带的安全性问题,也进步了零碎的安全性。
2.2 内网平安组进行隔离在创立 GaussDB(for Redis)的平安配置次要就是抉择内网平安组。内网平安组的配置其实就是一个小型 ACL(访问控制列表)管制哪些 IP 和端口能够进行拜访。
在平安组的形容阐明中,华为云也很贴心的把罕用的端口和威逼端口列了进去。罕用端口:协定端口阐明 FTP21FTP 服务上传和下载文件。SSH22 近程连贯 Linux 弹性云服务器。Telnet23 应用 Telnet 协定拜访网站。SMTP25SMTP 服务器所凋谢的端口,用于发送邮件。基于平安思考,TCP 25 端口出方向默认被封禁,申请解封请参考 TCP 25 端口出方向无法访问时怎么办?。HTTP80 应用 HTTP 协定拜访网站。POP3110 应用 POP3 协定承受邮件。IMAP143 应用 IMAP 协定承受邮件。HTTPS443 应用 HTTPS 协定拜访网站。SQL Server1433SQL Server 的 TCP 端口,用于供 SQL Server 对外提供服务。SQL Server1434SQL Server 的 TCP 端口,用于返回 SQLServer 应用了哪个 TCP/IP 端口。Oracle1521Oracle 通信端口,弹性云服务器上部署了 Oracle SQL 须要放行的端口。MySQL3306MySQL 数据库对外提供服务的端口。Windows Server Remote Desktop Services3389Windows 远程桌面服务端口,通过这个端口能够连贯 Windows 弹性云服务器。代理 80808080 端口罕用于 WWW 代理服务,实现网页浏览,实现网页浏览。如果您应用 8080 端口,拜访网站或应用代理服务器时,须要在 IP 地址前面加上:8080。装置 Apache Tomcat 服务后,默认服务端口为 8080。NetBIOS137、138、139NetBIOS 协定常被用于 Windows 文件、打印机共享和 Samba。137、138:UDP 端口,通过网上邻居传输文件时应用的端口。139:通过这个端口进入的连贯试图取得 NetBIOS/SMB 服务。常见威逼端口:协定端口 TCP42、135、137、138、139、444、445、593、1025、1068、1433、1434、3127、3128、3129、3130、4444、4789、5554、5800、5900、8998、9996UDP135~139、1026、1027、1028、1068、1433、1434、4789、5554、99962.3 数据备份数据备份其实是一个重要的性能,不要认为只有黑客入侵才是安全事件。数据安全同样是安全事件,因为滴滴问题去年数据安全大火了一把,因为磁盘、人为、环境等造成的数据失落都须要数据的备份和复原性能。
这边还能够依据用户本人的需要去设置备份策略。不晓得是不是试用版的起因,我这边备份最大只能备份 35 天。因为依照等保 2.0 数据备份的要求,重要的数据至多须要备份 6 个月。
2.4 限度高危命令从下图能够看到,我输出了 redis 罕用的 keys 命令,竟然是执行失败。因为 GaussDB(for Redis)对 redis 原生命令进行了过滤,对一些高危命令进行了限度。具体的命令标准能够参考命令兼容列表_云数据库 GaussDB NoSQL _GaussDB(for Redis)_用户指南_开发标准与命令兼容_华为云 (huaweicloud.com)
3. 小结总得来说 GaussDB(for Redis)绝对传统开源 redis 的晋升微小,做了很多安全性的设置。开箱即用,应用 GaussDB(for Redis)无疑会大大晋升数据安全和系统安全。也期待 GaussDB 有更多安全性的晋升。