Centro de Conhecimento DevOps
Centro de Conhecimento DevOps

Como Proteger Instalações Redis: Dicas Essenciais de Configuração

Garanta que sua instalação de alta performance do Redis esteja segura contra acesso não autorizado e perda de dados. Este guia essencial fornece dicas de configuração acionáveis e passo a passo, focando em isolamento de rede, autenticação e melhores práticas operacionais. Aprenda a restringir o acesso usando a diretiva `bind`, implementar proteção de senha forte (`requirepass` ou ACLs), desabilitar comandos perigosos e proteger arquivos de persistência. Leitura essencial para implantar o Redis com segurança em qualquer ambiente de produção.

29 visualizações

Como Proteger Instalações do Redis: Dicas Essenciais de Configuração

Redis é um poderoso repositório de dados em memória de alto desempenho, frequentemente usado para cache, gerenciamento de sessões e mediação de mensagens. Devido à sua velocidade e simplicidade, as configurações padrão do Redis são frequentemente otimizadas para ambientes de desenvolvimento — priorizando a facilidade de uso em detrimento da segurança rigorosa.

No entanto, expor uma instância Redis desprotegida à internet ou mesmo a uma rede interna não segmentada pode levar a violações de dados catastróficas, perda de dados (via FLUSHALL) ou até mesmo execução remota de código (via manipulação de arquivos de persistência). Proteger sua implantação de Redis em produção é inegociável. Este guia detalha etapas de configuração essenciais e acionáveis para proteger seu servidor Redis de forma eficaz.

1. Configuração de Rede: Limitando a Exposição

A medida de segurança mais imediata e eficaz é controlar em quais interfaces de rede o Redis escuta. Por padrão, o Redis geralmente se vincula a todas as interfaces disponíveis (0.0.0.0), tornando-o potencialmente acessível de qualquer lugar.

Vinculação a Interfaces Específicas (bind)

Você deve configurar o Redis para escutar apenas nas interfaces necessárias. Na maioria dos ambientes de produção, isso significa vincular apenas ao endereço de loopback ou a um endereço IP privado específico usado pelos servidores de aplicação.

Acesso Interno ou Local Apenas

Se o seu servidor de aplicação reside no mesmo host que o Redis, vincule-o exclusivamente ao endereço de loopback.

# Trecho de configuração do redis.conf
bind 127.0.0.1

Acesso em Rede Privada

Se os seus servidores de aplicação estiverem em um segmento de rede privada (por exemplo, uma sub-rede de backend) e necessitarem de acesso em rede, vincule-o a esse endereço IP privado específico. Nunca vincule a IPs voltados para a internet pública sem regras robustas de firewall.

# Liste os endereços IP internos específicos que devem acessar o Redis
bind 192.168.1.100 10.0.0.5

Entendendo o Modo Protegido (Protected Mode)

Desde o Redis 3.2, o Modo Protegido (Protected Mode) está habilitado por padrão. Este modo bloqueia conexões de qualquer cliente externo se o servidor estiver sendo executado sem uma senha (requirepass) e estiver vinculado a uma interface pública. Embora útil, confiar apenas no Modo Protegido é insuficiente; sempre imponha restrições de vinculação e autenticação.

Se você precisar desativá-lo para uma configuração específica, pode usar:

protected-mode no

⚠️ Aviso: Desative protected-mode somente se você configurou corretamente bind e requirepass. Caso contrário, sua instância Redis ficará totalmente aberta.

2. Autenticação e Controle de Acesso

Uma vez restrito o acesso à rede, a próxima camada de defesa é a autenticação. Os clientes só devem conseguir interagir com o Redis se fornecerem uma senha válida ou, preferencialmente, usarem o moderno sistema de Lista de Controle de Acesso (ACL).

Implementando Proteção por Senha (requirepass)

Use a diretiva requirepass no seu arquivo redis.conf para impor a autenticação do cliente. Isso funciona como um segredo compartilhado global para segurança básica.

# Defina uma senha forte e exclusiva
requirepass T4h!S_Is_V3ry_S3cure_P@ss

Para se conectar usando uma senha, os clientes devem usar o comando AUTH:

# Exemplo usando redis-cli
$ redis-cli
127.0.0.1:6379> AUTH T4h!S_Is_V3ry_S3cure_P@ss
OK
127.0.0.1:6379> PING
PONG

Segurança Avançada: Listas de Controle de Acesso do Redis (ACLs)

Para ambientes de produção que executam Redis 6.0 e posterior, as ACLs são o método de autenticação preferido. As ACLs permitem definir múltiplos usuários com senhas específicas e permissões granulares (por exemplo, o Usuário A só pode ler, o Usuário B pode gravar em espaços de chave específicos).

A configuração da ACL geralmente envolve a definição de usuários e suas regras em redis.conf ou em um arquivo ACL separado:

# Exemplo de definição de usuário ACL (em redis.conf ou aclfile)
user default on # usuário padrão está habilitado
user app_reader on >app_read_P@ss ~cache:* +get +scan
user app_writer on >app_write_P@ss ~data:* +set +del

Renomeando ou Desabilitando Comandos Perigosos

Certos comandos administrativos (como FLUSHALL, CONFIG, KEYS e SHUTDOWN) podem causar interrupções operacionais ou expor detalhes confidenciais de configuração se usados incorretamente. É uma boa prática renomear esses comandos para nomes obscuros ou desabilitá-los completamente.

Para renomear um comando, use rename-command:

# Renomeia o comando CONFIG para evitar alterações não autorizadas
rename-command CONFIG HIDE_MY_CONFIG

# Desabilita FLUSHALL completamente
rename-command FLUSHALL ""

3. Práticas Recomendadas de Segurança Operacional

Além da configuração interna do Redis, a aplicação de medidas robustas de segurança operacional externa é crucial para uma postura de segurança completa.

Imponha Regras de Firewall Estritas

Independentemente da configuração da diretiva bind, imponha sempre a filtragem de rede usando grupos de segurança em nuvem, iptables ou soluções de firewall semelhantes. A porta padrão do Redis (6379) deve estar aberta apenas para os endereços IP ou faixas de IP específicos dos seus servidores de aplicação confiáveis.

Exemplo de Regra de Firewall (Linux/iptables)

Permitir tráfego de entrada na porta 6379 apenas de um servidor de aplicação conhecido (192.168.1.50):

# Negar todo o tráfego de entrada na porta 6379 por padrão
iptables -A INPUT -p tcp --dport 6379 -j DROP

# Permitir servidor de aplicação específico
iptables -A INPUT -p tcp -s 192.168.1.50 --dport 6379 -j ACCEPT

Executar com Privilégios Mínimos

Nunca execute o processo do servidor Redis como o usuário root. Se um invasor comprometer o processo do Redis, executá-lo como root lhes concederá controle total sobre todo o sistema operacional.

Crie um usuário de sistema dedicado e não privilegiado (por exemplo, redis) e configure o sistema operacional e o script de inicialização do Redis para executar o servidor sob este usuário. A configuração do Redis pode impor isso usando a diretiva user (embora geralmente seja tratada pelas configurações do sistema):

# Garante que o processo Redis seja executado sob um usuário restrito (configuração em nível de sistema preferida)
user redis

Protegendo Arquivos de Configuração e Persistência

O arquivo redis.conf contém informações sensíveis como a senha requirepass e configurações de rede. Garanta que este arquivo, juntamente com os arquivos de persistência (snapshots RDB e logs AOF), seja protegido por permissões de arquivo restritivas, impedindo leitura ou modificação não autorizadas por outros usuários do sistema.

# Exemplo de permissões recomendadas
# Apenas o usuário 'redis' e root devem ler/gravar
chown redis:redis /etc/redis/redis.conf
chmod 600 /etc/redis/redis.conf

Implementar Criptografia SSL/TLS

Para ambientes onde o tráfego do Redis atravessa um segmento de rede não confiável (mesmo internamente), implemente criptografia SSL/TLS. Embora o Redis historicamente não tivesse suporte nativo a TLS, as versões modernas (a partir do Redis 6) o suportam totalmente. A configuração do TLS requer a geração de certificados e a definição de diretivas relevantes em redis.conf:

# Habilitar TLS
tls-port 6379
tls-auth-clients yes
tls-cert-file /etc/redis/tls/redis.crt
tls-key-file /etc/redis/tls/redis.key

Resumo das Etapas Essenciais de Segurança

A proteção de uma instalação Redis requer uma abordagem em camadas. Ao aplicar estas etapas fundamentais, você reduz significativamente a superfície de ataque e protege seus valiosos dados em memória:

  1. Restringir Acesso à Rede: Use bind 127.0.0.1 ou IPs privados específicos.
  2. Impor Autenticação: Use requirepass (básico) ou ACLs (avançado).
  3. Endurecer Comandos: Desabilite ou renomeie comandos administrativos perigosos (FLUSHALL, CONFIG).
  4. Usar Firewalls: Permita tráfego apenas na porta 6379 de servidores de aplicação confiáveis.
  5. Privilégio Mínimo: Execute o processo Redis como um usuário dedicado e não root.
  6. Criptografar Tráfego: Habilite SSL/TLS para conexões em rede, conforme apropriado.