Database MySQL di AWS RDS disponibile pubblicamente

0

Al momento abbiamo due istanze EC2 e un'istanza RDS. Sia un'istanza EC2 che l'istanza RDS ospitate su AWS nella stessa regione. Tuttavia, la seconda istanza EC2 si trova in una regione diversa.

Attualmente abbiamo accesso limitato all'istanza RDS per consentire solo le connessioni dalla prima istanza EC2 utilizzando i VPC di Amazon e i gruppi di sicurezza.

Dobbiamo consentire alla seconda istanza EC2 di accedere al database RDS ma attualmente il supporto cross-region per i gruppi di sicurezza / VPC non è supportato. Quindi sembra che abbiamo bisogno di aprire l'istanza RDS fino a Internet pubblico (sembra che possiamo limitarlo al secondo indirizzo IP della EC2).

Quali sono i problemi di sicurezza riguardo a ciò? È in esecuzione MySQL 5.6.27. Ha una password complessa associata al suo accesso (ma non so se questo è sufficiente). Posso fornire ulteriori dettagli di configurazione, se necessario.

Grazie

    
posta freebie 09.08.2016 - 21:12
fonte

2 risposte

2

I protocolli di database non sono progettati per supportare l'esposizione pubblica ostile. Anche le protezioni IP di origine potrebbero essere insufficienti, a causa dello spoofing IP, della mancanza di crittografia del transito e di altri problemi.

Forse riconsiderare l'architettura utilizzando una replica di lettura nella seconda regione e inviando i clienti che devono eseguire scritture sugli EC2 nella regione principale, o semplicemente chiudendo l'altra istanza EC2 della regione.

La distribuzione di EC2 in altre regioni potrebbe non essere di aiuto per le prestazioni, perché le transazioni devono ancora spostarsi nella regione principale. E potrebbe non essere d'aiuto per la disponibilità, perché se la master region viene persa allora presumibilmente l'unica istanza EC2 non sarà in grado di fare molto.

    
risposta data 10.08.2016 - 03:30
fonte
0

Questo accade abbastanza frequentemente. Devi fidarti dei tuoi gruppi di sicurezza.

I gruppi di sicurezza consentono di fare riferimento alle istanze (a seconda della configurazione del VPC), quindi se cambia IP, l'istanza viene referenziata nell'SG, non nell'individuale IP. Basta creare un SG stretto che consenta solo le connessioni da quella porta da quella singola istanza / IP.

È possibile attivare i registri di flusso VPC per accertarsi che le uniche connessioni accettate provengano dall'altro server DB. Nel mercato AWS ci sono alcuni strumenti a basso costo / gratuiti per aiutarti a consumare i log di VPC Flow.

Questo è abbastanza comune, i gruppi di sicurezza sono affidabili se configurati correttamente.

    
risposta data 28.03.2018 - 00:36
fonte

Leggi altre domande sui tag