从事前到事后，云数据库 Redis & MongoDB 安全体系全揭秘！

作者：陈金元（今远），阿里云管控技术专家

一、整体说明

上图是云数据库Redis&MongoDB的安全体系图，横向是实例控制链路，纵向是实例数据链路，对于控制链路，事前为了避免恶意操作或者误操作的发生，云数据库Redis&MongoDB提供了多个维度的授权机制，并通过风控系统进行释放保护，在极端场景下安全风险事件发生时，通过云监控可以第一时间发现问题，通过控制台以及审计日志可以快速的定位问题，当风险发生后，通过系统提供的各项恢复能力可以快速恢复业务，针对实例删除，可以使用回收站，针对数据删除（比如执行flushall），可以通过控制台数据恢复，shake工具，PITR，DBS等方式快速恢复数据。

Redis&Mongo实例数据链路的安全能力，分为接入层，网络层，代理层（proxy），引擎层，存储层 共5个维度。

接入层，也是访问实例的入口，提供云盾，堡垒机，DMS等产品，云盾和堡垒机是阿里云团队提供的安全解决方案，DMS作为数据库生态工具，提供了完善、成熟的数据安全访问解决方案，从访问和变更两个方面进行安全管控。

网络层，通过VPC进行网络隔离，通过白名单和安全组拦截未经授权的访问，通过SSL加密保证数据传输的安全性。

代理层，通过proxy审计日志，在安全风险发生时可以快速定位到clientip，及时进行阻断。

引擎层，通过Redis账号ACL，高危命令拦截，MongoDB TDE透明数据加密等方式进一步进行安全加固。

存储层，MongoDB在支持原生TDE加密模式的基础上，进一步增加自定义密钥材料的能力，实现从链路到存储的全链路加密支持。

二、事前

自建Redis和MongoDB存在的问题：从控制面，权限未做隔离，从数据面，开源Redis 当前的5.0以及之前的版本均未提供ACL的能力。

在云上，针对OPENAPI和控制台，支持RAM（Resource Access Management）的授权方式，可以使用RAM在主账号的权限范围内创建子账号，给不同的子账号分配不同的权限来允许或拒绝他们对云资源的访问，从而达到授权管理的目的。

与此同时，云数据库Redis&MongoDB也支持使用资源组来进行更细粒度的资源控制需求，通过资源组来支持用户在资源组级别的授权，每个资源组都可以维护不同的实例列表，如果授予子用户a作为资源组rg1的管理员，那么子用户a能够操作资源组rg1下的所有资源，而不能操作其他资源组的资源。

针对数据链路，云上Redis支持账户ACL，可以独立管理账户权限，通过白名单控制访问，并在此基础上通过安全组来优化维护体验，将ecs实例通过安全组进行统一管理，并与redis或者mongodb实例进行关联，每个redis实例最高支持关联10个安全组。

如果恶意用户突破了层层授权的限制，或者正常用户误触发了删除实例，我们还会通过二次提醒，以及风控系统提供的释放保护能力，对实例进行更多的保护，有效杜绝误操作或者恶意释放的可能，同时对于大批量的实例释放，则会自动触发熔断机制，对风险做紧急刹车。
针对数据链路的误操作，比如Redis 通过执行flushall等危险命令进行数据清理，或者执行keys可以阻塞正常的业务访问等等，云数据库Redis提供no_loose_disabled-commands参数来拦截高危命令，支持拦截FLUSHALL、FLUSHDB、KEYS、HGETALL、EVAL、EVALSHA、SCRIPT等风险命令。

三、事中

通过权限和风控系统提供的系统保护，已经可以规避绝大部分的恶意操作或者误操作，在极端情况下安全风险真的发生的时候，对比自建，云数据库Redis&MongoDB可以更快速的定位原因和影响，及时响应，快速恢复业务，通过云监控，可以及时收到告警，快速介入处理，对于控制面的实例释放，通过控制台的界面可以一目了然的看到影响的实例列表和影响业务范围，对于数据链路（比如执行了flushall），通过产品提供的审计日志的能力可以快速锁定来源IP，快速进行阻断，控制风险的进一步蔓延，如下面的图片，通过审计日志的关键词搜索，快速的找到了问题IP。

四、事后

通过监控告警和日志审计我们已经快速定位到问题，对风险IP也进行了及时阻断，下一步当然是快速恢复数据，云数据库Redis和MongoDB支持了非常多样化的恢复能力，对于误操作或者恶意操作释放实例，通过我们提供的回收站能力，可以快速进行重建恢复，数据会回到释放前的状态，同时保持相同的访问地址。

针对非实例级别的数据被误操作或者破坏的场景，使用各种数据恢复能力也可以快速恢复数据，比如备份集数据恢复和备份集克隆实例，前者使用备份集的数据替换当前实例的数据，备份集克隆实例则会重新生成一个新的实例，具有独立的链接地址，用于进行数据恢复，对当前实例的数据无影响。

对于误释放的实例，备份集默认只会保留8天，也就是说，在这种场景下，8天之后已经无法使用回收站或者备份集直接恢复数据，这种情况下如果本地有下载过备份文件，则可以使用RedisSHAKE或者MongoSHAKE进行数据恢复，在控制台中的备份均支持下载，释放也会提示进行备份，登录可以链接Redis或者MongoDB实例的ecs服务器，然后下载并解压对应的shake工具，修改配置文件后，启动shake即可使用备份文件快速恢复数据。

除此之外，也可以使用云上的数据库DBS服务进行定期的备份，也可以非常方便的进行事后恢复。