DevOpsナレッジハブ
DevOpsナレッジハブ

Redisインストールのセキュリティを確保する方法:必須設定のヒント

高性能なRedisインストールを不正アクセスやデータ損失から保護しましょう。この必須ガイドでは、ネットワーク分離、認証、運用上のベストプラクティスに焦点を当てた、実践的で段階的な設定のヒントを提供します。`bind` ディレクティブによるアクセス制限、強力なパスワード保護(`requirepass` または ACLs)の実装、危険なコマンドの無効化、永続化ファイルの保護方法について学びましょう。あらゆる本番環境でRedisを安全にデプロイするために必読です。

27 ビュー

Redisインストールを安全にする方法:必須の構成のヒント

Redisは、キャッシング、セッション管理、メッセージブローカリングに頻繁に使用される、強力で高性能なインメモリデータストアです。その速度とシンプルさから、デフォルトのRedis構成は多くの場合、厳格なセキュリティよりも使いやすさを優先し、開発環境向けに最適化されています。

しかし、保護されていないRedisインスタンスをインターネット、あるいはセグメント化されていない内部ネットワークに公開することは、壊滅的なデータ漏洩、データ損失(FLUSHALL経由)、さらにはリモートコード実行(永続化ファイルの操作経由)につながる可能性があります。本番環境のRedisデプロイメントのセキュリティ確保は、譲れない要件です。このガイドでは、Redisサーバーを効果的にロックダウンするための、必須かつ実用的な構成手順を詳しく説明します。

1. ネットワーク構成:公開範囲の制限

最も即効性があり効果的なセキュリティ対策は、Redisがリッスンするネットワークインターフェースを制御することです。デフォルトでは、Redisは利用可能なすべてのインターフェース(0.0.0.0)にバインドされることが多く、どこからでもアクセスできる可能性があります。

特定のインターフェースへのバインド(bind

Redisが必要なインターフェースでのみリッスンするように構成する必要があります。ほとんどの本番環境では、これはループバックアドレスまたはアプリケーションサーバーが使用する特定のプライベートIPアドレスにのみバインドすることを意味します。

内部またはローカルアクセスのみ

アプリケーションサーバーがRedisと同じホストにある場合は、ループバックアドレスに排他的にバインドします。

# redis.conf configuration snippet
bind 127.0.0.1

ネットワーク経由のプライベートアクセス

アプリケーションサーバーがプライベートネットワークセグメント(例:バックエンドサブネット)上にあり、ネットワークアクセスが必要な場合は、その特定のプライベートIPアドレスにバインドします。堅牢なファイアウォールルールなしに、インターネットに面したパブリックIPにバインドしてはいけません。

# List the specific internal IP addresses that should access Redis
bind 192.168.1.100 10.0.0.5

保護モードの理解

Redis 3.2以降、保護モードはデフォルトで有効になっています。このモードは、サーバーがパスワードなし(requirepass)で実行され、パブリックインターフェースにバインドされている場合、外部クライアントからの接続をブロックします。これは役立ちますが、保護モードだけに依存するのは不十分です。常にバインド制限と認証の両方を強制してください。

特定の構成のために無効にする必要がある場合は、以下を使用できます。

protected-mode no

⚠️ 警告: bindrequirepassを正しく構成した場合にのみ、protected-modeを無効にしてください。そうしないと、Redisインスタンスが完全に公開されてしまいます。

2. 認証とアクセス制御

ネットワークアクセスが制限されたら、次の防御層は認証です。クライアントは、有効なパスワードを提供するか、できれば最新のアクセス制御リスト(ACL)システムを使用する場合にのみ、Redisと対話できる必要があります。

パスワード保護の実装(requirepass

クライアント認証を強制するには、redis.confファイルでrequirepassディレクティブを使用します。これは、基本的なセキュリティのためのグローバルな共有シークレットとして機能します。

# Set a strong, unique password
requirepass T4h!S_Is_V3ry_S3cure_P@ss

パスワードを使用して接続するには、クライアントはAUTHコマンドを使用する必要があります。

# Example using redis-cli
$ redis-cli
127.0.0.1:6379> AUTH T4h!S_Is_V3ry_S3cure_P@ss
OK
127.0.0.1:6379> PING
PONG

高度なセキュリティ:Redisアクセス制御リスト(ACL)

Redis 6.0以降を実行している本番環境では、ACLが推奨される認証方法です。ACLを使用すると、特定のパスワードと詳細な権限を持つ複数のユーザーを定義できます(例:ユーザーAは読み取りのみ可能、ユーザーBは特定のキースペースに書き込み可能)。

ACL構成では通常、redis.confまたは個別のACLファイルでユーザーとそのルールを定義します。

# Example ACL user definition (in redis.conf or aclfile)
user default on # default user is enabled
user app_reader on >app_read_P@ss ~cache:* +get +scan
user app_writer on >app_write_P@ss ~data:* +set +del

危険なコマンドの名称変更または無効化

特定の管理コマンド(FLUSHALLCONFIGKEYSSHUTDOWNなど)は、誤用されると運用上の混乱を引き起こしたり、機密性の高い構成の詳細を公開したりする可能性があります。これらのコマンドをわかりにくい名前に変更するか、完全に無効にすることがベストプラクティスです。

コマンドの名前を変更するには、rename-commandを使用します。

# Rename CONFIG command to prevent unauthorized changes
rename-command CONFIG HIDE_MY_CONFIG

# Disable FLUSHALL entirely
rename-command FLUSHALL ""

3. 運用セキュリティのベストプラクティス

内部のRedis構成を超えて、堅牢な外部運用セキュリティ対策を適用することは、完全なセキュリティ体制のために不可欠です。

厳格なファイアウォールルールの強制

bindディレクティブの設定に関係なく、常にクラウドセキュリティグループ、iptables、または同様のファイアウォールソリューションを使用してネットワークフィルタリングを強制してください。Redisのデフォルトポート(6379)は、信頼できるアプリケーションサーバーの特定のIPアドレスまたはIP範囲にのみ開かれている必要があります。

ファイアウォールルールの例(Linux/iptables)

既知のアプリケーションサーバーIP(192.168.1.50)からのみポート6379への受信トラフィックを許可します。

# Deny all incoming traffic on port 6379 by default
iptables -A INPUT -p tcp --dport 6379 -j DROP

# Allow specific application server
iptables -A INPUT -p tcp -s 192.168.1.50 --dport 6379 -j ACCEPT

最小権限での実行

Redisサーバープロセスをrootユーザーとして実行しないでください。攻撃者がRedisプロセスを侵害した場合、rootとして実行されていると、攻撃者にオペレーティングシステム全体に対する完全な制御権が与えられてしまいます。

専用の非特権システムユーザー(例:redis)を作成し、オペレーティングシステムとRedis初期化スクリプトを設定して、このユーザーの下でサーバーを実行します。Redis構成は、userディレクティブを使用してこれを強制できます(ただし、通常はシステム設定によって処理されます)。

# Ensure the Redis process runs under a restricted user (system-level configuration preferred)
user redis

構成ファイルと永続化の保護

redis.confファイルには、requirepassパスワードやネットワーク設定などの機密情報が含まれています。このファイルと永続化ファイル(RDBスナップショットおよびAOFログ)は、制限的なファイルアクセス権によって保護し、他のシステムユーザーによる不正な読み取りや変更を防ぐようにしてください。

# Example recommended permissions
# Only the 'redis' user and root should read/write
chown redis:redis /etc/redis/redis.conf
chmod 600 /etc/redis/redis.conf

SSL/TLS暗号化の実装

Redisトラフィックが信頼できないネットワークセグメントを通過する環境(内部であっても)では、SSL/TLS暗号化を実装します。Redisは歴史的にネイティブのTLSサポートを欠いていましたが、最新バージョン(Redis 6以降)では完全にサポートされています。TLSを構成するには、証明書を生成し、redis.confで関連するディレクティブを設定する必要があります。

# Enable TLS
tls-port 6379
tls-auth-clients yes
tls-cert-file /etc/redis/tls/redis.crt
tls-key-file /etc/redis/tls/redis.key

必須のセキュリティ手順のまとめ

Redisのインストールを安全にするには、多層的なアプローチが必要です。これらの基本的な手順を適用することで、攻撃対象領域を大幅に削減し、貴重なインメモリデータを保護できます。

  1. ネットワークアクセスを制限する: bind 127.0.0.1または特定のプライベートIPを使用します。
  2. 認証を強制する: requirepass(基本)またはACL(高度)を使用します。
  3. コマンドを強化する: 危険な管理コマンド(FLUSHALLCONFIG)を無効化または名称変更します。
  4. ファイアウォールを使用する: 信頼できるアプリケーションサーバーからのポート6379上のトラフィックのみを許可します。
  5. 最小権限: Redisプロセスを非rootの専用ユーザーとして実行します。
  6. トラフィックの暗号化: 適切なネットワーク接続にSSL/TLSを有効にします。