Краткое введение: небольшая компания, ОЧЕНЬ ограниченные ресурсы. Я почти все делаю, в том числе выношу мусор.
В течение многих лет мы запускали экземпляр MySQL внутри компании, и он работал нормально, но я думаю, что это во многом просто удача. У нас есть несколько клиентских компьютеров, которые размещены у поставщиков и иногда на торговых выставках. Этим клиентским машинам необходим доступ к базе данных. В настоящее время мы обеспечиваем безопасный доступ к нашей сети через VPN. В нашем брандмауэре нет дыры для MySQL.
Решение VPN неудобно и имеет свои собственные последствия для безопасности. Я также все больше нервничаю из-за того, что мой собственный экземпляр MySQL будет доступен в сети. Я наткнулся на амазонку Сервис AWS RDS и это звучало ИДЕАЛЬНО! Однако я сразу же столкнулся с проблемой группы безопасности и понял, что мне нужно предоставить полный, неограниченный доступ ко всем IP-адресам из-за того, что я не могу контролировать диапазоны IP-адресов клиентских машин. Поверьте мне, я понятия не имею, какой будет их IPS.
Я читал, что открывать БД для публики - это очень плохая практика, и что, когда это абсолютно необходимо, лучше развернуть API веб-сервисов в БД. Было бы неплохо сделать это, но у меня нет времени (в настоящее время) написать конечную точку веб-служб для всех наших приложений.
Итак, наконец ... мой вопрос: с какими угрозами мы столкнемся, открыв наш экземпляр БД для всех IP-адресов? Мы не банк, мы не публичная компания - о нас даже толком никто не знает, так что целевая атака маловероятна. Однако я полностью игнорирую угрозы безопасности и «что там» - существуют ли угрозы, которые сканируют все диапазоны IP-адресов в поисках сервера для ответа, а затем, когда он атакует «просто для развлечения»?
Чтобы быть ясным, Я ЗНАЮ, что это противоречит передовым методам, и мне не нужна лекция, я ищу реальный совет о вероятности атаки - если это возможно определить.
Кстати, я нашел этот вопрос, и он связан, но не совсем то, что мне нужно. Я просто хотел включить его, чтобы другие не отвечали, ссылаясь на него. Публичная база данных Amazon RDS?
Если у него есть порт, открытый для сети, это цель. Так просто, как, что. Существует очень враждебная среда, и ботнеты предоставляют множество ресурсов для проверки всего, что живет в сети.
Если вы торопитесь и текущее решение болезненно, но работает, я бы не стал его трогать. Подумайте об этом больше, исследуйте свои варианты и не действуйте, пока не узнаете, что вы собираетесь реализовать и почему.