czy przekierowanie serwera SQL na adres IP z białej listy jest bezpieczne


Muszę uzyskać dostęp do serwera SQL znajdującego się za routerem z wystąpienia AWS EC2. Czy otwarcie portu na routerze jest bezpieczne, jeśli umieszczę na białej liście adresy IP instancji EC2?
Jeśli jest na to najlepsza praktyka lub ktoś zna procedurę, wszelkie linki są mile widziane!
System operacyjny SQL Server: Windows Server 2008 R2 w sieci zarządzanej domeną Wersja SQL Server: 2008 R2 z dodatkiem SP3
System operacyjny wystąpienia AWS EC2: Ubuntu 18.04
Zamiar: dostęp do SQL z sekwencjonowaniem na serwerze WWW opartym na expressjs
Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Jeśli musisz zadać to pytanie, nie. Nie używam MSSQL, ale jestem dobry w innych bazach danych i sieciach. Jest to oczywiście wykonalne, ale wymaga starannego wdrożenia.
Pierwszy problem polega na tym, że otwierając port bazy danych do Internetu, otwierasz go na atak, zarówno pod względem dostępu do niego, jak i DoS. Możesz zmniejszyć to ryzyko, używając odpowiedniej zapory.
Druga sprawa to bezpieczeństwo. (Z tego, co przeczytałem) SQL domyślnie nie szyfruje ruchu. Możesz skonfigurować VPN, włączyć TLS i zapewnić odpowiednie zaufanie, a najlepiej jedno i drugie. Jeśli tego nie zrobisz, osoby trzecie mogą zobaczyć dane i prawdopodobnie zmodyfikować dane za pomocą ataku MITM.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Twoje pytanie jest trochę zagmatwane i trochę niedokładne. Co ma z tym wspólnego przekierowanie portów?
Jeśli chcesz tylko udostępnić instancję EC2 dla swojej lokalnej bazy danych, tak, możesz to zrobić bezpiecznie, używając białej listy adresów IP i użytkowników/haseł, a nawet lepiej, używając VPN.
Baza danych posiada nazwę użytkownika i hasło, co jest prawdopodobnie wystarczającym zabezpieczeniem. Dodaj do tego białą listę adresów IP i prawdopodobnie jest to dobra ochrona. Jednak nadal umożliwia każdemu, kto może sfałszować pierwotny adres IP, dostęp do instancji, a jeśli w oprogramowaniu bazy danych są jakieś błędy, narażasz się na niebezpieczeństwo.
VPN jest ogólnie zalecany. Daje to kolejną linię obrony i skutecznie rozszerza Twoje centrum danych w AWS. Duże firmy często umieszczają AWS w wewnętrznym zakresie adresów IP, ale dopóki możesz do niego przekierować, nie ma to znaczenia. Następnie możesz dodać do białej listy tylko wewnętrzne zakresy adresów IP. Trzy zabezpieczenia uczyniłyby to wygodniejszym - VPN, biała lista adresów IP i użytkownik/hasło.

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się