Introducción rápida: pequeña empresa, recursos MUY limitados. Yo prácticamente hago todo, incluyendo sacar la basura.
Hemos estado ejecutando una instancia de MySQL internamente durante años y ha funcionado bien, pero creo que esto es en gran parte simplemente buena suerte. Tenemos varios equipos cliente que se implementan en ubicaciones de proveedores y, en ocasiones, en ferias comerciales. Estas máquinas cliente necesitan acceso a la base de datos. Actualmente estamos facilitando el acceso seguro a través de una VPN a nuestra red. Nuestro firewall no tiene un agujero abierto para MySQL.
La solución VPN es una molestia y tiene sus propias implicaciones de seguridad. También estoy cada vez más nervioso por mantener mi propia instancia de MySQL en línea y disponible. Me encontré con Amazon servicio RDS de AWS y ¡sonaba PERFECTO! Sin embargo, me topé con el problema del grupo de seguridad de inmediato y me di cuenta de que tendría que otorgar acceso completo e ilimitado a todas las IP debido a que no tengo control sobre los rangos de IP de las máquinas cliente. Confía en mí en este caso, no tengo idea de cuál será su IPS.
He leído que es una muy mala práctica exponer una base de datos al público y que cuando debes hacerlo, es mejor implementar una API de servicios web en la base de datos. Sería bueno hacer esto, pero no hay manera de que tenga tiempo (en este momento) para escribir un punto final de servicios web para todas las aplicaciones.
Entonces, finalmente ... mi pregunta: ¿Cuáles son las amenazas que enfrentaríamos al exponer nuestra instancia de base de datos a todas las IP? No somos un banco, no somos una empresa pública, nadie sabe realmente sobre nosotros, así que parece que un ataque dirigido es poco probable. Sin embargo, soy completamente ignorante de las amenazas de seguridad y de "lo que hay por ahí". ¿Existen amenazas que analicen todos los rangos de IP en busca de un servidor para responder, luego, cuando atacan "solo por diversión"?
Para ser claro, SÉ que esto va en contra de las mejores prácticas y no necesito una conferencia, estoy buscando consejos del mundo real sobre la probabilidad de un ataque, si es posible determinarlo.
Por cierto, encontré esta pregunta y está relacionada pero no es exactamente lo que necesito. Solo quería incluirlo para que otros no respondan vinculándolo. ¿Base de datos pública de Amazon RDS?