0

我有一个安装了 mysql 的 ec2 实例。服务器侦听来自任何 ip (bind-address = 0.0.0.0) 的连接。

我已经设置了 mysql 安全组,只有我的 webapp 实例才能远程连接到 mysql db。为此,我向我的实例添加了一个 webapp-sg 安全组(webapp-sg 限制为 http、https 和 ssh)然后对于我的 mysql 实例,我只是使用 webapp-sg 组作为“源”。我已经验证了 1. 我无法从外部 ec2 实例远程登录 2. 在 ec2 实例中,我必须在具有安全组 =webapp-sg 的 ec2-instance 上

但是,webapp 实例和 mysql db 之间的流量仍然是明文。有什么影响?(我看到很多推荐上述设置的文章)。人们是否为此使用“Mysql over ssl” - 我怀疑这会对性能产生影响?还是 aws vpc 解决了这个问题?

4

1 回答 1

3

简短的回答:这是推荐的操作方式。去吧。

更长:这取决于。取决于您的应用程序所需的安全级别,以及您愿意花费的工作量、复杂性、可用性和维护成本。虽然理论上建议任何机器间的流量都应该加密,尤其是在像公共云这样的多租户环境中——AWS 已经花费了很多精力来使其基本安全组提供可靠的安全组。 请参阅“网络安全”一章

那将使窃听或数据包欺骗都不太可能发生。如果您现实一点,那么黑客更有可能(按数量级)将您的 Web 应用程序错误和漏洞用作主要攻击媒介。

也可能是安全组配置错误的可能性。Dome9Newvem等专用服务可能有助于获得洞察力并管理您的安全配置。(披露——我是 Dome9 联合创始人)

最后,VPC。虽然在架构上与 EC2 没有太大区别,但建议使用它,因为它带来了更多的配置能力,以及执行策略的第二种方法(网络 ACL)。这可能会引入一些复杂性和更多的维护,但可以减少错误配置的影响。

于 2012-12-02T06:49:43.613 回答