0

mysqlをインストールしたec2インスタンスがあります。サーバーは任意のIP(bind-address = 0.0.0.0)からの接続をリッスンします。

Webアプリケーションインスタンスのみがmysqldbにリモート接続できるようにmysqlセキュリティグループを設定しました。このために、インスタンスにwebapp-sgセキュリティグループを追加しました(webapp-sgはhttp、https、およびsshに制限されています)。次に、mysqlインスタンスでは、単にwebapp-sgグループを「ソース」として使用しました。1.外部のec2インスタンスからリモートでログインできない2.ec2インスタンス内で、セキュリティグループ=webapp-sgを持つec2-instanceにいる必要があることを確認しました

ただし、webappインスタンスとmysqldb間のトラフィックはクリアテキストのままです。影響は何ですか?(上記の設定を推奨する記事がたくさんあります)。人々はこれに「Mysqloverssl」を使用しますか?パフォーマンスに影響があると思いますか?または、aws vpcはこれを解決しますか?

4

1 に答える 1

3

簡単な答え:これが推奨される操作方法です。頑張れ。

長い:状況によります。アプリに必要なセキュリティのレベル、および費やしても構わないと思っている作業量、複雑さ、可用性、およびメンテナンスによって異なります。理論的には、特にパブリッククラウドのようなマルチテナント環境では、マシン間のトラフィックを暗号化することをお勧めします。AWSは、基本的なセキュリティグループを確実なものにするために多大な努力を払ってきました。 「ネットワークセキュリティ」の章を参照してください

これにより、盗聴またはパケットスプーフィングの両方が発生する可能性は非常に低くなります。現実的に考えれば、ハッカーがWebアプリのバグや脆弱性を主要な攻撃ベクトルとして使用する可能性が(桁違いに)高くなります。

また、セキュリティグループの設定ミスの可能性もあります。Dome9Newvemなどの専用サービスは、洞察を得たり、セキュリティ構成を管理したりするのに役立つ場合があります。(開示-私はDome9の共同創設者です)

最後に、VPC。アーキテクチャ的にはEC2とそれほど違いはありませんが、構成能力が高く、ポリシーを適用する2番目の方法(ネットワークACL)が提供されるため、これをお勧めします。これにより、複雑さが増し、メンテナンスが増える可能性がありますが、設定ミスの影響を減らすことができます。

于 2012-12-02T06:49:43.613 に答える