Heroku Redis のセキュリティ保護

この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。

最終更新日 2020年06月11日(木)

Redis バージョン 6​ を使用して Premium、Private、または Shield Heroku データベースをプロビジョニングする場合は、この記事で説明されている Stunnel 手法の代わりに、その組み込み TLS を使用する必要があります。Hobby プランでは TLS 接続は許可されません。

Heroku Redis​ は、Heroku 上のすべての正式な言語に対する優れたサポートを備えたメモリ内のキー/値ストアである Redis​ へのアクセスを提供します。 これは、いくつかの強力なデータ型をサポートし、スループットの最大化に重点を置いています。 その結果、Redis は、信頼できるクライアントが存在する信頼できる環境で動作するように設計されています。つまり、Redis では暗号化を使用せず、アクセス制御を最小限に抑え、認証レイヤーはチャレンジ/レスポンスのないプレーンテキストのパスワードのみで構成されています。

開発者が生成して操作するデータが安全であることを保証するために、Redis に接続しようとするすべてのユーザーに Heroku が提供する Stunnel buildpack​ をインストールすることをお勧めします。 この buildpack は、dyno と Heroku Redis インスタンスの間に SSL トンネルを作成します。

Stunnel buildpack なしでも Heroku Redis に接続できますが、それはお勧めできません。転送されるデータが暗号化されなくなります。

Stunnel の概要

Heroku Redis 用の SSL は、本番プランでのみ使用できます。 Hobby-Dev プランは本番環境ではなく、テストおよびステージング環境を目的にしています。

Stunnel は、本番環境の各 Heroku Redis インスタンスにインストールされるソフトウェアです。 これは、実行中の Redis プロセスと SSL 接続の間にプロキシを作成します。トランスポートレベルのセキュリティに対処できるように、アプリケーションを実行している dyno 上に関連付けられた Stunnel を作成する必要があります。一般に、Stunnel を使用するメリットは、アプリケーションコードを何も変更しなくても、アプリケーションに暗号化が追加されることです。

Stunnel buildpack の使用

Stunnel は、すべての本番プラン Heroku Redis インスタンスのサーバー側にすでに設定されています。トンネルの残りの半分は、Heroku Redis と対話する必要のある dyno で設定する必要があります。高いレベルでは、buildpack をインストールする必要があり、Heroku Redis と対話する各プロセスタイプではそのコマンドを bin/start-stunnel​ で始める必要があります。 Heroku Redis Buildpack README​ には、アプリケーションへの buildpack の追加のすべての詳細が含まれています。

heroku config:set STUNNEL_ENABLED=false -a sushi​ を使用して STUNNEL_ENABLED​ を false​ に設定することによって、ステージングまたは開発環境で Stunnel buildpack を無効にすることができます。

Stunnel への直接接続

一部の Redis クライアントライブラリでは Stunnel に直接接続できます。この場合は、Stunnel buildpack を使用する必要はなく、Stunnel に直接接続できます。

Stunnel は、Redis インスタンスポートの次に高いポートで実行します。Redis がポート 6379​ 上で実行されている場合、Stunnel はポート 6380​ をリッスンします。

Ruby の使用

Ruby​ を使用している場合は、次を使用して Stunnel に直接接続できます。

require 'uri'
url = URI.parse(ENV["REDIS_URL"])
url.scheme = "rediss"
url.port = Integer(url.port) + 1
$redis = Redis.new(url: url, driver: :ruby, ssl_params: { verify_mode: OpenSSL::SSL::VERIFY_NONE })

この方法は、redis​ gem 4.0.2​ 以上のバージョンにのみ適用されます。4.0.1​ 以下では OpenSSL::SSL::VERIFY_NONE​ が確認モードとして無視されるため、ネイティブに SSL 経由で Heroku Redis に接続するために使用することはできません。

Go の使用

Go​ を使用している場合は、次を使用して Stunnel に接続できます。

u, _ := url.Parse(s)
h, p, _ := net.SplitHostPort(u.Host)
port, _ := strconv.Atoi(p)
u.Scheme = "rediss"
u.Host = net.JoinHostPort(h, strconv.Itoa(port++))
c, _ := redis.DialURL(u.String(),  redis.DialTLSSkipVerify(true))
defer c.Close()

Node.js の使用

Node.js から Heroku Redis インスタンスに接続するために ioredis​ を使用している場合は、次を使用して Stunnel に直接接続できます。

var url   = require('url');
var Redis = require('ioredis');

redis_uri = url.parse(process.env.REDIS_URL);
var redis = new Redis({
  port: Number(redis_uri.port) + 1,
  host: redis_uri.hostname,
  password: redis_uri.auth.split(':')[1],
  db: 0,
  tls: {
    rejectUnauthorized: false,
    requestCert: true,
    agent: false
  }
});

Heroku Redis CLI

Heroku Redis CLI では、Heroku Redis インスタンスにアクセスしようとするときは Stunnel 経由で接続します。Hobby-Dev プランには Stunnel のサポートが含まれていないため、CLI 経由で Heroku Redis インスタンスに接続する場合は、確認を求める警告メッセージが表示されます。

$ heroku redis:cli -a sushi
 ▸    WARNING: Insecure Action
 ▸    All data, including the redis password, will be unencrypted.
 ▸    To proceed, type sushi or re-run this command with --confirm sushi
>

コマンドラインで --confirm​ フラグを使用すると、確認メッセージをスキップし、Redis CLI に直接接続できます。

$ heroku redis:cli --confirm sushi
Connecting to: REDIS_URL
ec2-11-11-11-11.compute-1.amazonaws.com:6699>