确保 VPS 提供商的 LAN 通信安全

确保 VPS 提供商的 LAN 通信安全

我很好奇在云提供商中从应用程序连接到数据库的最佳实践。简要介绍一下我们的设置。

我们有 4 台服务器,全部来自同一提供商,位于同一地区,以 VPS 形式运行。Ngnix 是反向代理,将负载平衡到 2 台 Node.JS 服务器。Node.js 服务器连接到 MongoDB 服务器。

所以我的问题是关于 Node.js > Mongo 连接的安全性。我们限制 Mongo 和 Node 服务器只能通过 IP 表通过 LAN 相互连接。DB 和 Node 实例在 LAN 之外无法访问。我们还在 MongoDB 上启用了 SCRAM-SHA-1 身份验证。

我们需要启用 TLS/SSL 吗?如果云提供商内部的恶意参与者试图嗅探 node.js 和 mongo 服务器之间未加密的 HTTP 通信,会带来哪些安全风险。

我们正在考虑在节点和 mongo 机器之间添加自签名证书。这当然会增加一些通信开销。

有兴趣听听关于最佳实践的想法。您是否在云提供商的 LAN 内加密通信,或者这是否有点过头了?

如果我错了,请纠正我,但有人需要基本上在内部路由器/交换机级别监视流量才能进行窃听。

相关内容