快速介绍:小公司,资源非常有限。 我几乎做了所有事情,包括拿出垃圾。
我们已经在内部运行了一个MySQL实例多年,这是行得通的,但我认为这主要是好运。 我们有几个客户端计算机部署到供应商的地点和有时贸易展览。 这些客户机需要访问数据库。 目前,我们正在通过VPN为我们的networking提供安全访问。 我们的防火墙没有为MySQL开放的空间。
VPN解决scheme是一个痛苦,它有自己的安全隐患。 我也越来越紧张地保持我自己的MySQL实例在线和可用。 我遇到了Amazon AWS的RDS服务 ,听起来很完美! 但是,我马上就遇到了安全组问题,并且意识到,由于我无法控制客户端机器的IP范围,因此我需要授予对所有IP的完全无限制访问权限。 相信我这个,我不知道他们的IPS会是什么。
我已经读过,向公众公开一个数据库是一个非常糟糕的做法,当你绝对必须这样做时,最好将一个Web服务API部署到数据库。 这样做会很好,但是我没有时间(在这个时候)为所有的应用程序编写Web服务端点。
所以最后….我的问题:我们的数据库实例暴露给所有的IP我们将面临什么样的威胁? 我们不是一家银行,我们不是一家上市公司,甚至没有人真正了解我们,所以似乎不大可能有针对性的攻击。 然而,我完全不知道安全威胁和“那里有什么” – 是否有威胁扫描所有IP范围寻找服务器响应,然后当他们攻击“只是为了好玩”?
要清楚的是,我知道这是违反最佳做法,我不需要一个演讲,我正在寻找关于攻击的可能性的现实世界的build议 – 如果这是可以确定的。
顺便说一句,我发现这个问题,这是相关的,但不完全是我所需要的。 我只是想包括它,让其他人不回应链接到它。 公有Amazon RDS数据库?
如果它有一个对networking开放的端口,这是一个目标。 就如此容易。 那里有非常恶劣的环境,僵尸networking提供了大量的资源来探测networking上的任何生命。
如果你很急,现在的解决scheme是痛苦的,但工作,我不会碰它。 给它更多的思考,研究你的select,并不采取行动,直到你知道你要实施什么,为什么。