我最近在AWS上創建了Cassandra羣集。我還寫了一個客戶端程序來訪問它。一切正常。但是,我擔心安全問題。在我的客戶端程序中,我只需知道羣集的IP地址,然後就可以連接到它並在其上運行查詢。這對安全性不好嗎?人們通常如何安全地做到這一點?在AWS上保護Cassandra數據庫
感謝
我最近在AWS上創建了Cassandra羣集。我還寫了一個客戶端程序來訪問它。一切正常。但是,我擔心安全問題。在我的客戶端程序中,我只需知道羣集的IP地址,然後就可以連接到它並在其上運行查詢。這對安全性不好嗎?人們通常如何安全地做到這一點?在AWS上保護Cassandra數據庫
感謝
默認情況下,卡桑德拉安裝禁用所有的安全功能。有四個主要功能,您可以啓用:
authenticator: PasswordAuthenticator
以啓用。authorizer: CassandraAuthorizer
以啓用。至少,我建議啓用內部認證和授權。 SSL加密稍微複雜一些(儘管仍然是一個好主意),但可能需要根據您的公司政策和數據的敏感性。這當然是將適當的AWS安全組應用到集羣的補充。
您應該已經爲您的羣集定義了一個安全組,即使它們是默認組。檢查Security Groups for Your VPC
至少應該限制公衆訪問服務所需的端口。
我會誠實地將它與您的IP號碼僅限於,直到您更好地掌握您的實施的整體安全要求。
最好有兩個安全組,一個用於Cassandra,一個用於應用程序。 Cassandra節點僅分配內部IP,不分配公有IP,並且僅限應用安全組對Cassandra端口的訪問。這確保只有應用程序可以訪問Cassandra。
您還應啓用Cassandra身份驗證和授權,請遵循official security guide。