FutrixData logo FutrixData
Seguridad de Redis

Seguridad de Redis para agentes de IA — Bloquea FLUSHALL, KEYS * y comandos administrativos

La seguridad de Redis para agentes de IA intercepta comandos de borrado (FLUSHALL, FLUSHDB, SHUTDOWN), comandos administrativos (CONFIG SET, MIGRATE, SCRIPT FLUSH) y lecturas bloqueantes (KEYS *, LRANGE / ZRANGE amplios). Redis no tiene un equivalente a EXPLAIN — FutrixData gobierna por semántica de comandos y patrones de clave.

Superficie de riesgo de Redis

El riesgo en Redis está más cerca de la seguridad de comandos y la seguridad de rangos de clave que de la optimización de consultas. Las operaciones peligrosas son comandos de borrado, escaneos amplios que bloquean el servidor de un solo hilo, y comandos administrativos que cambian el estado del cluster, las ACLs o los módulos.

Reglas integradas de Redis

Clase de comandoAcción por defecto
FLUSHALL, FLUSHDB, SHUTDOWNblock
CONFIG SET, CONFIG RESETSTAT, subcomandos peligrosos de CLUSTERblock
ACL SETUSER, ACL DELUSER, SCRIPT FLUSH, FUNCTION FLUSH, MODULE LOAD, CLIENT KILL, MIGRATEblock
Escrituras — SET, DEL, HSET, LPUSH, SADD, ZADD, EXPIRE, RENAMEwarn
Lecturas amplias — KEYS, SCAN, HGETALL, SMEMBERS, ZRANGE / LRANGE amplioswarn
Scripts — EVAL, EVALSHAwarn

Reglas por patrón de clave

Las reglas se pueden configurar por patrón de clave, por ejemplo:

Por qué no hay equivalente a EXPLAIN para Redis

Redis no expone estimación de coste previa a la ejecución. FutrixData usa la semántica de comandos y los patrones de clave como superficie de control — no hay capa de sondeo como en la ruta SQL EXPLAIN. Esto es intencional: ejecutar un sondeo que en sí mismo involucre KEYS crearía exactamente el problema que estamos previniendo.

Ejemplos

Comando de borrado interceptado
// Agent attempts:
FLUSHALL

// FutrixData response:
{ "ok": false, "risk": "block", "rule": "redis.flush_all" }
Escaneo amplio marcado
// Agent attempts:
KEYS *

// FutrixData response:
{ "ok": false, "risk": "warn", "rule": "redis.broad_scan",
  "reason": "KEYS * blocks the server on large keyspaces; use SCAN with MATCH" }

Preguntas frecuentes

¿Esto soporta Redis Cluster?

Sí. Las conexiones de cluster se reconocen automáticamente y las reglas aplican por comando. Los subcomandos peligrosos de CLUSTER (CLUSTER FAILOVER, CLUSTER RESET) se bloquean por defecto.

¿Se manejan los comandos bloqueantes?

Sí. BLPOP, BRPOP y WAIT se reconocen; puedes acotar tiempos de espera y requerir aprobación para llamadas bloqueantes sin límite.

¿Puedo permitir FLUSHDB sólo en claves de desarrollo?

Sí — por fuente de datos. Bloquea FLUSHDB en prod-redis, permítelo (o advierte) en dev-redis. El modo de confianza añade otra palanca: las fuentes de desarrollo pueden ejecutarse en Trusted, las de producción en Cautious.

¿Qué pasa con los scripts Lua (EVAL)?

EVAL / EVALSHA caen en warn por defecto. Puedes bloquearlos de forma dura por fuente. SCRIPT FLUSH y FUNCTION FLUSH se bloquean de plano.

¿Funciona con Sentinel?

Sí. FutrixData se conecta mediante clientes Redis con soporte para Sentinel; la evaluación de reglas es idéntica.

Prueba FutrixData con tu propia base de datos

Aplicación de escritorio gratuita para macOS, Windows y Linux. Enterprise Edition autoalojada para despliegues en producción.