web-dev-qa-db-ja.com

一般に公開されているDBインスタンスに対して起こりそうな脅威は何ですか?

簡単な紹介:小さな会社、非常に限られたリソース。ごみの出し方も含めて、ほとんど何でもします。

MySQLのインスタンスは内部で何年も実行されており、問題なく動作していますが、これは主に幸運だと思います。ベンダーの場所に展開されているクライアントコンピューターがいくつかあります。これらのクライアントマシンはデータベースにアクセスする必要があります。現在、VPNを介したネットワークへの安全なアクセスを促進しています。私たちのファイアウォールには、MySQLのための穴が開いていません。

VPNソリューションは面倒で、独自のセキュリティ上の影響があります。また、自分のMySQLインスタンスをオンラインで利用できるようにしておくことに、ますます緊張しています。私はアマゾンに出くわしました AWSのRDSサービス そしてそれは完璧に聞こえました!しかし、すぐにセキュリティグループの問題に直面し、クライアントマシンのIP範囲を制御できないため、すべてのIPへの完全な無制限のアクセスを許可する必要があることに気付きました。これを信じてください、私は彼らのIPSがどうなるかわかりません。

私は、DBを公開することは非常に悪い習慣であり、絶対にこれを行う必要がある場合は、WebサービスAPIをDBにデプロイする方がよいことを読みました。これを行うのはいいことですが、私が(現時点で)すべての出力アプリケーション用のWebサービスエンドポイントを作成する時間があるわけではありません。

だから最後に...私の質問:DBインスタンスをすべてのIPに公開することによって直面する脅威は何ですか?私たちは銀行ではなく、上場企業でもありません。誰も私たちについて本当に知らないので、標的型攻撃はありそうにないようです。しかし、私はセキュリティの脅威と「何がそこにあるのか」を完全に無視しています-応答するサーバーを探してすべてのIP範囲をスキャンする脅威はありますか。

明確にするために、これはベストプラクティスに違反していることを知っており、講義は必要ありません。攻撃の可能性についての現実的なアドバイスを探しています-それが判断できる場合。

ところで、私はこの質問を見つけました、そしてそれは関連していますが正確には私が必要としているものではありません。リンクしただけで他の人が反応しないようにしたかっただけです。 公開Amazon RDSデータベース?

8
Steve K

脅威をきちんと把握しているようで、セキュリティの観点からは現在実行していることが望ましいことを知っており、コストと利益の分析に直面しています。それを念頭に置いて、ここにいくつかの代替の考えがあります:

  • SSLフロントエンドを使用してMySQLを構成します。 MySQLにはそのための機能がいくつかありますが、stunnelを使用することで気が散ることは少なくなります。クライアント証明書はある程度理想的ですが、VPNの問題から、カードにはない可能性があると思います。

  • マシンでMySQLを実行し、世界をリッスンするように構成し、システムのiptables(ファイアウォール)機能を使用して接続を拒否します。認証に成功すると、許可されたホストのリストにソースIPを追加する非常にシンプルなWebサービスを作成します。多くの場合、iptables統計をクリアして、数日間トラフィックを生成しないホストを削除できます。監査証跡付きの ポートノッキング と考えてください。

7
Jeff Ferland

トレードショーの場合、ライブデータベースに接続する必要がありますか?ローカルマシンの(最近の)コピーで間に合うか。

トレードショーでの追加のリスクは、データまたはアプリケーションを使用不可にする(サーバーをクラッシュさせる)ことに商業的利益をもたらす競合会社に囲まれていることです。提供されたネットワークで聴く可能性も高くなります。

7
Gary

ネット上で昼夜を問わずスキャナーが稼働していると言ったら、私を信頼してください。 DBを公開すると、あらゆる種類のスキャン試行がサーバーログに表示されます。

ブラインド攻撃の例としては、MS SQLをターゲットとするSQL Slammerワーム、大量のSQLインジェクション、LizaMoon、MySQLの脆弱なパスワードをターゲットとするSpoolCLLがあります。

したがって、MySQLを公開する必要がある場合は、少なくとも別のポートを使用してください。

6
Nam Nguyen

Amazon DBを使用できますが、注意深く構築されたフロントエンドアプリを介してec2ボックスを介してのみアクセスできますか、またはec2インスタンスへの直接のipsecトンネルさえ可能ですか?

2
Steve Dispensa