Назад | Перейти на главную страницу

Запретить MITM для экземпляра AWS RDS MySQL

Что мешает кому-либо сниффать (MITM) трафик между экземпляром RDS MySQL (вне VPC) и веб-сервером, если SSL-соединение не настроено (по умолчанию на AWS)?

Обычно ничто не может предотвратить MITM, если выполняются оба этих условия:

  1. Нет шифрования.
  2. Злоумышленник может видеть данные, т.е. имеет доступ ко всему, через что проходят незашифрованные данные.

Много Сценарии доступа к инстансу БД в VPC. Я должен предположить, основываясь на вашем вопросе, сценарий наихудшего случая: обе Инстанс БД и инстанс EC2 Не в VPC:

Хотя весь трафик может идти внутри собственной (но общедоступной) сети Amazon (которую вы можете исследовать с помощью traceroute), это означает, что оба условия могут выполняться. Следовательно, вы должны либо включить TLS, либо переместить RDS в Виртуальное частное облако Amazon (VPC) - или даже то и другое.

Это встроено в документацию RDS Безопасность в Amazon RDS (цитируются только элементы связанного списка):

  • Запустите свой инстанс БД в виртуальном частном облаке Amazon (VPC) для максимально возможного контроля доступа к сети. Для получения дополнительной информации о создании экземпляра БД в VPC см. Использование Amazon RDS с Amazon Virtual Private Cloud (VPC).

  • Используйте соединения Secure Socket Layer (SSL) с инстансами БД, на которых работают механизмы баз данных MySQL, Amazon Aurora, MariaDB, PostgreSQL, Oracle или Microsoft SQL Server; для получения дополнительной информации об использовании SSL с экземпляром БД см. Использование SSL для шифрования соединения с инстансом БД.

Даже если вы будете следовать каждому шагу по повышению безопасности, вам все равно нужно доверять Amazon.