亞馬遜RDS和客戶端MySQL數據庫安全

Question

我的公司正在考慮將我們的應用程序改爲開始使用雲數據庫。目前客戶端在本地安裝數據庫，本地數據庫將變成雲數據庫。這意味着每個客戶都有自己的數據庫。我們也無法控制我們所有客戶的網絡，因此使用Amazon VPC來控制它是沒有問題的。

我一直在四處搜索，似乎數據庫將需要一個公共數據庫，因爲客戶端可能有DHCP IP地址。

什麼是保護數據庫的最佳方式？使用SSL進行連接顯而易見。對MySQL使用強大的用戶名和密碼也很明顯。當然，將默認端口更改爲其他內容。還有什麼應該做的？

Answer 1

你已經擊中了大部分低掛果實（使用SSL，強密碼等）。由於VPC不存在這樣的問題，因爲立即想到的其他事情就是儘可能嚴格地爲數據庫配置安全組。如果您知道您的客戶端將始終從單個IP或與該客戶端關聯的子網連接，則只允許從這些IP /子網連接到RDS實例。但是，如果您需要保持對大多數互聯網開放的數據庫的訪問權限，那麼您概述的幾乎是您擁有的唯一選項。

不幸的是，在mysql中啓用雙因素身份驗證等功能需要能夠安裝PAM模塊，編輯服務器的my.cnf文件等等，而這些功能對於RDS來說是不可能的，因爲它是完全託管的數據庫方案。