पिछले कुछ महीनों से, Redis शिक्षा टीम Redis सुरक्षा को कवर करने वाले एक नए पाठ्यक्रम पर कड़ी मेहनत कर रही है। आज, हमें RU330 की सामान्य उपलब्धता की घोषणा करते हुए प्रसन्नता हो रही है:Redis Security! यदि आप उत्पादन में रेडिस चलाते हैं, तो आप निश्चित रूप से साइन अप करना चाहेंगे।
यदि आपको और अनुनय की आवश्यकता है, तो कृपया इसे पढ़ें।
Redis Security क्यों?
यह एक सार्वभौमिक सत्य है कि इसके नमक के लायक कोई भी डेटाबेस सुरक्षित होना चाहिए। लेकिन कैसे करें आप रेडिस को सुरक्षित करते हैं? अगर हम पूरी तरह से ईमानदार हैं, तो रेडिस के शुरुआती विकास ने आम तौर पर सुरक्षा पर उपयोगिता और स्थिरता को प्राथमिकता दी है।
यह हाल के वर्षों में बदल गया है, हालांकि, विशेष रूप से रेडिस 6 की रिलीज के साथ। अब, आप एक्सेस कंट्रोल लिस्ट (एसीएल) का लाभ उठाकर कम से कम विशेषाधिकार के सिद्धांत को लागू कर सकते हैं, और आप टीएलएस (ट्रांसपोर्ट लेयर) को सक्षम करके अपने रेडिस कनेक्शन को सुरक्षित कर सकते हैं। सुरक्षा) एन्क्रिप्शन।
इस गति पर निर्माण करते हुए, हम रेडिस सुरक्षा के लिए निश्चित मार्गदर्शिका बनाना चाहते थे, और, ठीक है, आरयू330:रेडिस सुरक्षा उस प्रयास का फल है।
तो, यह कोर्स कौन पढ़ा रहा है? आपको इसे क्यों लेना चाहिए? और आप क्या सीखने जा रहे हैं?
पाठ्यक्रम प्रशिक्षक
Redis Security का विचार सुरक्षा पर केंद्रित एक Redis उत्पाद प्रबंधक, जेमी स्कॉट के साथ शुरू हुआ। सुरक्षा के बारे में हमारे ग्राहकों के साथ प्रतिदिन बात करते हुए, जेमी ओपन सोर्स रेडिस 6, रेडिस एंटरप्राइज और रेडिस एंटरप्राइज क्लाउड के लिए सुरक्षा फीचर विकास में गहराई से शामिल रहा है। कहने की जरूरत नहीं है कि जेमी इस प्रयास का नेतृत्व करने के लिए एकदम सही व्यक्ति थे, और जेमी अधिकांश सुरक्षा पाठ्यक्रम के लिए प्रमुख शिक्षक हैं।
मैं जेमी का सह-शिक्षक हूं। एक लंबे समय तक सॉफ्टवेयर इंजीनियर, तकनीकी लेखक और अनुभवी रेडिस यूनिवर्सिटी पाठ्यक्रम डेवलपर के रूप में, मैंने जेमी को एक आकर्षक, सूचनात्मक पाठ्यक्रम बनाने में मदद की है जो आपके समय के लायक है।
आप क्या सीखेंगे
हमारा पाठ्यक्रम सुरक्षा शिक्षा के लिए एक समग्र दृष्टिकोण लेता है।
किसी भी रेडिस-विशिष्ट विषय में जाने से पहले, हम कुछ सामान्य सुरक्षा सिद्धांतों से शुरू करते हैं जो हमें लगता है कि सभी को पता होना चाहिए। हम सीआईए ट्रायड (गोपनीयता, अखंडता, और उपलब्धता), गहराई में रक्षा, और कम से कम विशेषाधिकार के सिद्धांत सहित सूचना सुरक्षा की मूल बातें कवर करते हैं। यह रेडिस के बुनियादी सुरक्षा नियंत्रणों के दौरे के लिए मंच तैयार करता है। पाठ्यक्रम में बाद में, हम आपको अपने Redis परिनियोजन में TLS को ठीक से लागू करने का तरीका दिखाने से पहले एन्क्रिप्शन और सार्वजनिक कुंजी क्रिप्टोग्राफ़ी का एक संपूर्ण परिचय प्रदान करते हैं।
रेडिस की सुरक्षा विशेषताओं के पीछे के तर्क को समझाने में, हमारा लक्ष्य उत्पादन में जाने पर आपको सर्वोत्तम निर्णय लेने में मदद करना है। उदाहरण के लिए, हम चाहते हैं कि आप इस बारे में गंभीरता से सोचें कि आपके एप्लिकेशन को वास्तव में किस स्तर की Redis एक्सेस की आवश्यकता है। यदि आप एक ऐसी सेवा चला रहे हैं जिसका एकमात्र काम RediSearch के विरुद्ध चलाए गए खोज प्रश्नों को वापस करना है, तो आप उस सेवा के लिए एक विशिष्ट ACL उपयोगकर्ता बनाना चाहेंगे। आपके द्वारा परिभाषित ACL उपयोगकर्ता कुछ इस तरह दिख सकता है:
user searchservice on >secret +FT.SEARCH ~* . पर
यह एसीएल निर्देश एक उपयोगकर्ता को ठीक एक रेडिस कमांड चलाने में सक्षम बनाता है:FT.SEARCH , जो एक RediSearch अनुक्रमणिका को क्वेरी करता है। यह एक अच्छा अभ्यास है क्योंकि यह इस संभावना को कम करता है कि यदि कभी भी समझौता किया जाता है तो आपके आवेदन को कोई नुकसान होगा। उदाहरण के लिए, आपका आवेदन FLUSHDB . पर कॉल नहीं कर पाएगा , एक आदेश जो सभी रेडिस डेटा को छोड़ देगा और संभावित रूप से आपके उपयोगकर्ताओं को कुछ असुविधा होगी।
डरावनी कहानियां
आप इस पाठ्यक्रम को रेडिस डरावनी कहानी से बचने के लिए तकनीकों की एक श्रृंखला के रूप में सोच सकते हैं। वास्तव में, क्योंकि रेडिस इतनी व्यापक रूप से तैनात है, यह हैकर्स (खराब प्रकार) और स्क्रिप्ट किडीज़ के लिए एक लक्ष्य हो सकता है। एक तरह की प्रेरणा के रूप में, जेमी और मेरे पास पाठ्यक्रम में हर हफ्ते एक अलग रेडिस डरावनी कहानी पेश करने का विचार था। आप कुछ कुख्यात रेडिस कारनामों के बारे में जानेंगे और उनसे बचने के लिए क्या किया जा सकता है।
ओपन सोर्स रेडिस
यह कोर्स ओपन सोर्स रेडिस पर केंद्रित है, इसलिए यह ज्यादातर रेडिस उपयोगकर्ताओं पर लागू होता है। कभी-कभी हम रेडिस एंटरप्राइज या रेडिस एंटरप्राइज क्लाउड की एक विशेषता को इंगित करेंगे, जिसकी आपको आवश्यकता हो सकती है क्योंकि आप अपने संगठन में रेडिस में उपयोग को मापते हैं। लेकिन रेडिस ओपन सोर्स रेडिस उपयोगकर्ताओं के लिए भी पूरी तरह से प्रतिबद्ध है, इसलिए हम इस कोर्स में ओपन सोर्स रेडिस पर जोर देते हैं, जैसा कि हम आज उपलब्ध अन्य छह रेडिस यूनिवर्सिटी पाठ्यक्रमों में करते हैं।
अपने Redis परिनियोजन सुरक्षित करें
आप कर सकते हैं Redis सुरक्षा सीखें, और आप सही सुरक्षा निर्णय लेकर अधिकांश हमलावरों को भी विफल कर सकते हैं। RU330:Redis Security आपको यह सब सिखाता है, साथ ही ऐसे कई सिद्धांत भी सिखाता है जिन्हें आप सुरक्षित करने के लिए आवश्यक किसी भी सिस्टम पर लागू कर सकते हैं।
अंतिम परीक्षा के लिए एक और सप्ताह के साथ, पाठ्यक्रम तीन सप्ताह तक चलने वाला प्रशिक्षक है। रास्ते में, मैं आपके सभी सवालों के जवाब देने के लिए या सिर्फ "नमस्ते" कहने के लिए कोर्स डिस्कॉर्ड चैनल में उपलब्ध रहूंगा। हमें उम्मीद है कि आप हमारे साथ जुड़ेंगे!