Base de datos MySQL AWS RDS públicamente disponible

0

Actualmente tenemos dos instancias de EC2 y una instancia de RDS. Tanto una instancia EC2 como una instancia RDS se alojan en AWS en la misma región. Sin embargo, la segunda instancia de EC2 está en una región diferente.

Actualmente, tenemos acceso limitado a la instancia de RDS para permitir solo conexiones desde la primera instancia de EC2 utilizando los VPC de Amazon y los grupos de seguridad.

Necesitamos permitir que la segunda instancia de EC2 acceda a la base de datos RDS, pero actualmente no es compatible el soporte entre regiones para grupos de seguridad / VPC. Así que parece que necesitamos abrir la instancia de RDS hasta la Internet pública (parece que podemos limitarla a la dirección IP del segundo EC2).

¿Cuáles son las preocupaciones de seguridad al hacer esto? Se está ejecutando MySQL 5.6.27. Tiene una contraseña segura asociada con su acceso (pero no sé si esto es suficiente). Puedo proporcionar más detalles de configuración si es necesario.

Gracias

    
pregunta freebie 09.08.2016 - 21:12
fuente

2 respuestas

2

Los protocolos de base de datos no están diseñados para soportar la exposición pública hostil. Incluso las protecciones de IP de origen pueden ser insuficientes, debido a la falsificación de IP, la falta de cifrado de tránsito y otros problemas.

Quizás reconsidere la arquitectura utilizando una réplica de lectura en la segunda región y enviando a los clientes que necesitan hacer escrituras a los EC2 en la región maestra, o simplemente cerrando la instancia de la otra región EC2.

La implementación de EC2 en otra región puede no ayudar al rendimiento, porque las transacciones aún tienen que viajar a la región maestra. Y puede que no ayude con la disponibilidad, porque si la región maestra se pierde, probablemente la única instancia de EC2 no podrá hacer mucho.

    
respondido por el Jonah Benton 10.08.2016 - 03:30
fuente
0

Esto sucede con bastante frecuencia. Tienes que confiar en tus grupos de seguridad.

Los grupos de seguridad le permiten hacer referencia a las instancias (según la configuración de su VPC), por lo que si cambia las IP, se hace referencia a la instancia en su SG, no a la IP individual. Simplemente haga un SG estricto que solo permita conexiones desde ese puerto desde esa única instancia / IP.

Puede activar los registros de VPC Flow para asegurarse de que las únicas conexiones aceptadas sean de su otro servidor de base de datos. Hay algunas herramientas baratas / gratuitas en el mercado de AWS para ayudarlo a consumir los registros de VPC Flow.

Esto es bastante común, los grupos de seguridad son confiables cuando se configuran correctamente.

    
respondido por el rajat banerjee 28.03.2018 - 00:36
fuente

Lea otras preguntas en las etiquetas