Безопасно ли защитить сервер mysql с частной сетью?
Я не могу понять этого, поэтому, надеюсь, кто-нибудь сможет объяснить для меня, почему и что наиболее безопасно:
Я размещаю интернет-магазин Magento на VPS в DigitalOcean, но для большей безопасности я подумал, что будет безопаснее хранить мою базу данных MySQL на выделенном VPS, который только доступен в частной сети и отключен от общего доступа (из-за всей информации пользователя, которую он будет содержать). Но это все еще кажется неправильным, потому что чем это безопаснее? Если кто-то взломает интерфейсный сервер, который имеет доступ к серверу базы данных через частную сеть, он все равно сможет получить доступ к информации на этом сервере, верно? Если это так, я могу просто сохранить базу данных на том же сервере ...
Я думаю, лучше было бы соединение API с сервером базы данных, закрывая все остальные порты этого сервера, но я работаю с Magento, поэтому это не вариант.
Итак, что вы, ребята, посоветуете. Достаточно ли безопасно хранить мой mysql на выделенном сервере с частной сетью? Или есть лучшие способы?
Думаю, вы немного переборщите. Если вы говорите о фактическом доступе на уровне ssh к вашему внешнему серверу, вы можете изучить возможность входа на основе SSH. Обычно для этого требуется, чтобы у вас был физический файл, «ключ», прежде чем сервер примет ваш запрос на вход. Само по себе это блокирует множество атак, в основном они должны физически атаковать ВАС, чтобы получить этот файл входа.
Резюме: для защиты доступа к вашему внешнему серверу в свете данных, связанных с ним [Да, он подключен, вы не могу с этим справиться] Я бы порекомендовал включить вход на ваш сервер на основе ключа SSH для защиты от атак грубой силы. Это позволит вашему внешнему серверу быть защищенным, сохраняя при этом возможность общаться с вашим внутренним сервером.
Все это актуально, если я вижу, что вы говорите о физическом доступе к своему внешнему серверу.
Если ваше приложение взломали, они могут использовать api для сбора всей необходимой информации. Так что если ваше приложение взломали, вы в любом случае потерялись. Лучше всего настроить базу данных без выделенного общедоступного IP-адреса. Убедитесь, что ваш сервер базы данных недоступен из Интернета. Если вас беспокоит безопасность вашего приложения, вы можете использовать брандмауэр веб-приложений, который анализирует каждый uri и его параметры, если они допустимы.