默认情况下,当您打开bind-address 监听外部时,MySQL 客户端和服务器之间的默认通信是不安全的,这意味着任何可以进行中间人攻击的人都可以查看所做的每一笔交易。
有一些选项可以防止这种类型的攻击(SSH 隧道或在 MySQL 中启用 SSL),但据我了解,Amazon RDS 没有实现,by default,任何 SSL 安全性。
所以我想知道,当你创建一个 RDS 实例时,它是像在服务器上安装 MySQL 并打开 3306 端口还是我错过了什么?
【问题讨论】:
标签: mysql security amazon-web-services ssl
几点。首先,AWS RDS for mysql 确实支持 ssl。这里讨论一下
http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.SSLSupport
其次,在 AWS VPC 中安排服务器的常用方法是拥有“私有”和“公有”子网。私有子网路由到其他私有主机,也可能路由到同一 VPC 中的其他主机。但他们没有弹性 IP,也没有直接访问 Internet 网关的权限。通常将数据库放在私有子网上,这样它们的端口就不会暴露了
这个页面上有一个很好的图表展示了这个概念
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html
最后,AWS RDS 存在于the shared responsiblity model 的理念中
这试图明确 AWS 服务提供哪些安全性以及客户应承担哪些责任
【讨论】:
如果您正在创建一个实例,您还必须允许在您的端点上打开端口 3306。这意味着您还必须配置安全设置,以允许此连接使用哪个 IP。关于 SSL 安全性或 SSH,作为一种好的做法,您应该依赖带有密码短语的 ssh 密钥。
【讨论】: