Best practice per la connessione diretta SQL da DB a IP specifici su Internet

Naviga le tue risposte
4

Sto utilizzando AWS e sto cercando eventuali commenti sulle migliori pratiche riguardanti le connessioni consentite al mio DB da specifici IP su Internet. Potrei dare al DB un IP pubblico e bloccare semplicemente il firewall per consentire solo le connessioni dagli IP specifici che devono essere connessi.

Probabilmente potrei anche usare un host bastion nella sottorete pubblica e consentire alle terze parti di connettersi direttamente al DB attraverso il bastione.

Qualsiasi altro pensiero o valutazione delle mie opzioni proposte sarebbe molto apprezzato. (VPN non è un'opzione qui a causa del collegamento di terze parti.)

    
posta jay-charles 19.08.2015 - 17:40
fonte

1 risposta

1

In generale, se blocchi gli IP che richiedono, le richieste di autenticazione del DB non colpiranno mai il DB, quindi non dovrai preoccuparti di un attacco DOS direttamente sul DB. Con AWS in particolare, hai la possibilità di usufruire di un VPC. Questo è un po 'come una VPN, ma invece è possibile fornire le terze parti con il proprio endpoint server all'interno del proprio cloud privato. In questo modo l'internet pubblico è completamente bypassato. Se non riesci a farlo, potresti prendere in considerazione la costruzione di un'interfaccia (servizio web o api) per l'accesso di terze parti, senza fornire loro "chiavi per il castello". E se non puoi farlo, non vedo alcun problema con il blocco degli IP.

Raccomando di cambiare anche la porta di connessione, anche con il firewall in posizione.

    
risposta data 19.08.2015 - 22:22
fonte

Leggi altre domande sui tag

Bypass file_exists [rfi, lfi] nel mio codice, è possibile? Splitting risposta HTTP in pratica