Мне нужно получить доступ к SQL-серверу за маршрутизатором из экземпляра AWS EC2. Насколько безопасно открывать порт на маршрутизаторе, если я занесу в белый список IP-адрес экземпляра EC2?
Если есть лучшая практика для этого, или если кто-то знает процедуру для этого, любые ссылки приветствуются!
ОС SQL-сервера: Windows Server 2008 R2 в сети, управляемой доменом Версия SQL Server: 2008 R2 SP3
ОС экземпляра AWS EC2: Ubuntu 18.04
Намерение: доступ к SQL с помощью sequelize на веб-сервере на основе expressjs
Если вам нужно задать этот вопрос, нет. Я не использую MSSQL, но хорошо разбираюсь в других базах данных и сетях. Это, конечно, выполнимо, но требует тщательной реализации.
Первая проблема заключается в том, что, открывая порт базы данных для Интернета, вы открываете его для атаки, как с точки зрения доступа к нему, так и с точки зрения DoS. Вы можете снизить этот риск с помощью соответствующего брандмауэра.
Второй вопрос - это безопасность. (Из того, что я читал) SQL по умолчанию не шифрует трафик. Вы можете либо настроить VPN, либо включить TLS и обеспечить соответствующее доверие, либо, в идеале, и то, и другое. Если вы этого не сделаете, третьи стороны могут видеть данные и, возможно, изменять данные с помощью атаки MITM.
Ваш вопрос немного сбивает с толку и несколько неточен. При чем здесь перенаправление портов?
Если вы просто хотите предоставить экземпляр EC2 для локальной базы данных, да, это можно сделать безопасно, используя белый список IP и пользователя / пароль или даже лучше с помощью VPN.
База данных имеет имя пользователя и пароль, что, вероятно, является адекватной защитой. Добавьте к этому белый список IP, и это, вероятно, хорошая защита. Тем не менее, он по-прежнему позволяет любому, кто может подделать исходный IP-адрес, получить доступ к экземпляру, и если в программном обеспечении базы данных есть какие-либо ошибки, это оставляет вас уязвимым.
Обычно рекомендуется использовать VPN. Это дает вам еще одну линию защиты и эффективно расширяет ваш центр обработки данных на AWS. Крупные компании часто помещают AWS во внутренний диапазон IP-адресов, но до тех пор, пока вы можете маршрутизировать к нему, это не имеет значения. Затем вы можете занести в белый список только свои внутренние диапазоны IP-адресов. Три защиты сделали бы более удобным - VPN, белый список IP и пользователь / пароль.