Security
防止 AWS RDS MySQL 實例的 MITM
如果未設置 SSL 連接(AWS 上的預設設置),是什麼阻止任何人嗅探 (MITM) RDS MySQL 實例(VPC 外部)和 Web 伺服器之間的流量?
如果這兩個條件都為真,通常沒有什麼可以阻止 MITM:
- 沒有加密。
- 攻擊者可以看到數據,即可以訪問未加密數據經過的任何內容。
訪問 VPC 中的數據庫實例有多種場景。根據您的問題,我需要假設最壞的情況: DB Instance和EC2 Instance Not in a VPC:
雖然所有流量都可能進入亞馬遜自己的(但公共的)網路(您可以使用它進行調查
traceroute
),但這意味著這兩個條件都可能成立。因此,您應該啟用 TLS 或將您的 RDS 移動到Amazon Virtual Private Cloud (VPC) 中,甚至兩者兼而有之。這與Amazon RDS 中的 RDS 文件安全性一致(僅引用了相關的列表項):
- 在 Amazon Virtual Private Cloud (VPC) 中執行您的數據庫實例,以獲得最大可能的網路訪問控制。有關在 VPC 中創建數據庫實例的更多資訊,請參閱將 Amazon RDS 與 Amazon Virtual Private Cloud (VPC) 結合使用。
- 對執行 MySQL、Amazon Aurora、MariaDB、PostgreSQL、Oracle 或 Microsoft SQL Server 數據庫引擎的數據庫實例使用安全套接字層 (SSL) 連接;有關將 SSL 與數據庫實例結合使用的更多資訊,請參閱使用 SSL 加密與數據庫實例的連接。
即使您遵循每一步來提高安全性,您仍然需要信任亞馬遜。