如果未设置 SSL 连接(AWS 上的默认设置),如何阻止任何人嗅探(MITM)RDS MySQL 实例(VPC 之外)和 Web 服务器之间的流量?
答案1
一般来说,如果以下两个条件都成立,就没有什么可以阻止 MITM:
- 没有加密。
- 攻击者可以看到数据,即可访问未加密数据经过的任何内容。
有许多访问 VPC 中的数据库实例的场景根据您的问题,我需要假设最坏的情况:两个都DB 实例和 EC2 实例不在 VPC 中:
虽然所有流量可能都进入亚马逊自己的(但公开的)网络(您可以使用 进行调查traceroute),但这意味着两种情况都可能成立。因此,您应该启用 TLS 或将 RDS 移入亚马逊虚拟私有云(VPC)——或者两者兼而有之。
这与 RDS 文档一致Amazon RDS 中的安全性(仅引用相关列表项):
在 Amazon Virtual Private Cloud (VPC) 中运行数据库实例,以实现最大程度的网络访问控制。有关在 VPC 中创建数据库实例的更多信息,请参阅将 Amazon RDS 与 Amazon Virtual Private Cloud (VPC) 结合使用。
使用安全套接字层 (SSL) 连接运行 MySQL、Amazon Aurora、MariaDB、PostgreSQL、Oracle 或 Microsoft SQL Server 数据库引擎的数据库实例;有关将 SSL 与数据库实例结合使用的更多信息,请参阅使用 SSL 加密与数据库实例的连接。
即使你遵循每一个步骤来提高安全性,你仍然需要信任亚马逊。