我正在使用 AWS 并寻找有关允许从 Internet 上的特定 IP 连接到我的数据库的最佳实践的任何评论。我可以给数据库一个公共 IP,然后锁定防火墙,只允许来自需要连接的特定 IP 的连接。
我可能还可以在公共子网中使用堡垒主机,并允许第 3 方通过堡垒直接连接到数据库。
对我提出的选项的任何其他想法或评估将不胜感激。(由于连接第三方,VPN 在这里不是一个选项。)
从数据库到 Internet 上特定 IP 的直接 SQL 连接的最佳实践
信息安全
数据库
2021-08-25 06:18:17
1个回答
一般来说,如果你锁定了请求的 IP,DB 身份验证请求将永远不会命中 DB,因此你不必担心直接对 DB 进行 DOS 攻击。尤其是 AWS,您可以利用 VPC。这有点像 VPN,但您可以在您的私有云中为第三方提供他们自己的服务器端点。这样就完全绕过了公共互联网。如果你不能这样做,你可以考虑为你的第 3 方访问构建一个接口(Web 服务或 api),而不给他们“城堡的钥匙”。如果你不能这样做,我认为锁定 IP 没有任何问题。
我建议也更改连接端口,即使有防火墙。
其它你可能感兴趣的问题