今天,我们有一个解决方案,其基础设施完全托管在 AWS 上。除其他外,还有一个 API(API 网关 + lambda),它通过由安全组和数据库身份验证保护的 VPC 到 VPC 连接与数据库通信。出于管理目的(也使用安全组),数据库仅向一小部分知名 IP 地址公开到 Internet。我认为这种设置相对安全,因为只能从知名 IP 地址和我们的 lambda 访问数据库。
在另一个环境中(针对我们的一个客户),我们计划将数据库外部化到另一个云托管提供商(OVH),以便数据存储在法国公司而不是亚马逊。
我们应该如何设置网络基础设施以在该环境中保持相同的安全级别?仅使用 IP 地址过滤 + 数据库身份验证 + 加密似乎不够,因为 lambdas 出站 IP 地址与其他 AWS 客户共享。