Я не могу понять этого, так что, надеюсь, кто-нибудь сможет объяснить мне, почему и что наиболее безопасно:
Я размещаю интернет-магазин Magento на VPS в DigitalOcean, но для большей безопасности я подумал, что будет безопаснее хранить мою базу данных MySQL на выделенном VPS, который только доступный через частную сеть и отключенный от общего доступа (из-за всей пользовательской информации, которую он будет содержать). Но это все равно кажется неправильным, потому что чем это безопаснее? Если кто-то взломает интерфейсный сервер, который имеет доступ к серверу базы данных через частную сеть, он все равно сможет получить доступ к информации на этом сервере, верно? Если это так, я могу просто сохранить базу данных на том же сервере ...
Я думаю, лучше было бы соединение API с сервером базы данных, закрывая все остальные порты для этого сервера, но я работаю с Magento, так что это не вариант.
Так что вы, ребята, посоветуете. Достаточно ли безопасно хранить мой mysql на выделенном сервере с частной сетью? Или есть способы получше?
Если ваше приложение взломали, они могут использовать api для сбора всей необходимой информации. Так что если ваше приложение взломали, вы в любом случае потерялись. Лучше всего настроить базу данных без выделенного общедоступного IP-адреса. Убедитесь, что ваш сервер базы данных недоступен из Интернета. Если вас пугает безопасность вашего приложения, вы можете использовать брандмауэр веб-приложения, который анализирует каждый uri и его параметры, если они допустимы.
Я думаю, вы можете немного компенсировать это. Если вы говорите о фактическом доступе на уровне ssh к своему внешнему серверу, вам может потребоваться включить вход на основе SSH. В основном это требует, чтобы у вас был физический файл, «ключ», прежде чем сервер примет ваш запрос на вход. Одно это блокирует множество атак, в основном они должны физически атаковать ВАС, чтобы получить этот файл входа.
Резюме: Чтобы обеспечить безопасный доступ к вашему внешнему серверу, в свете данных, связанных с ним [Да, он подключен, вы не можете с этим справиться] Я бы рекомендовал включить вход на основе ключа SSH на ваш сервер для защиты от атак грубой силы . Это позволит вашему переднему серверу быть защищенным, сохраняя при этом возможность общаться с вашим внутренним сервером.
Все это уместно, если я вижу, что вы говорите о физическом доступе к своему внешнему серверу.