Мне интересно узнать о лучших практиках при подключении из приложения к БД в облачном провайдере. Краткое изложение нашей установки.
У нас есть 4 сервера от одного провайдера, работающих в том же регионе, что и VPS. Ngnix - это обратный прокси, балансирующий нагрузку на 2 сервера Node.JS. Серверы Node.js подключаются к серверу MongoDB.
Итак, мой вопрос касается безопасности, когда речь идет о соединении Node.js> Mongo. У нас есть серверы Mongo и Node, которые могут подключаться друг к другу только через LAN через IP-таблицы. Экземпляры DB и Node недоступны за пределами LAN. Мы также включили аутентификацию SCRAM-SHA-1 в MongoDB.
Нужно ли нам включать TLS / SSL? Каковы риски безопасности, если злоумышленник внутри облачного провайдера пытается обнюхать нашу иначе незашифрованную HTTP-связь между node.js и сервером mongo.
Мы рассматриваем возможность добавления самозаверяющего сертификата между узлами и машинами mongo. Это, конечно, добавит некоторые накладные расходы на общение.
Интересно услышать мысли о передовой практике. Вы шифруете связь в локальной сети у своего облачного провайдера или это излишнее?
Поправьте меня, если я ошибаюсь, но кому-то нужно будет в основном отслеживать трафик на уровне внутреннего маршрутизатора / коммутатора, чтобы подслушивать.