Práctica recomendada para la conexión directa de SQL desde DB a IP específicas en Internet

4

Estoy usando AWS y busco comentarios sobre las mejores prácticas para permitir conexiones a mi base de datos desde direcciones IP específicas en Internet. Podría darle a la base de datos una IP pública y simplemente bloquear el firewall para permitir solo las conexiones de las IP específicas que necesitan conectarse.

Probablemente también podría usar un host de bastión en la subred pública y permitir que los terceros se conecten directamente a la base de datos a través del bastión.

Cualquier otra opinión o evaluación de mis opciones propuestas sería muy apreciada. (VPN no es una opción aquí debido a la conexión de terceros).

    
pregunta jay-charles 19.08.2015 - 17:40
fuente

1 respuesta

1

En general, si bloquea las IP solicitantes, las solicitudes de autenticación de la base de datos nunca llegarán a la base de datos, por lo que no tendrá que preocuparse por un ataque de DOS en la base de datos directamente. Específicamente con AWS, tiene la capacidad de aprovechar una VPC. Esto es algo así como una VPN, pero en su lugar, podría proporcionar a los terceros su propio punto final de servidor dentro de su nube privada. De esta manera el internet público es completamente anulado. Si no puede hacer eso, podría considerar la creación de una interfaz (servicio web o api) para el acceso de terceros, sin darles "las claves del castillo". Y si no puede hacerlo, no veo ningún problema con el bloqueo de las direcciones IP.

También recomiendo cambiar el puerto de conexión, incluso con el firewall en su lugar.

    
respondido por el TTT 19.08.2015 - 22:22
fuente

Lea otras preguntas en las etiquetas