私は、いくつかの個人ウェブサイトや ownCloud などのホスティングに使用している小さな VPS (Ubuntu 16.04) を持っています。これはかなり遅く、ストレージ容量もそれほど大きくありません。ホーム ネットワークを絶対に必要な場合以外は公開せずに、ownCloud ストレージと MySQL データベース、基本的にリソースを大量に消費するすべてのものをホーム サーバー (Ubuntu 17.10) にオフロードしたいと考えています。
セキュリティの観点から、これを行う最善の方法は何でしょうか? 考えられる選択肢は 3 つあります。
- MySQL と NFS を非標準ポートで公開し、VPS の IP 以外のすべてをファイアウォールで保護します。
- SSH トンネルを確立し、すべての MySQL および NFS トラフィックをトンネル経由でルーティングします。
- VPN を設定します。
2 と 3 の場合の懸念は、VPS が侵害された場合、意図した以上にホーム ネットワークが公開される可能性があることです。トンネルするリモート ポート/IP を決定するのは VPS であるため、トンネルが設定されると、攻撃者は新しいトンネルを追加できます。
答え1
オプション 3 (オプション 2 はオプション 3 の特殊なケース) が明らかに最適な方法です。
これはオプション 1 よりも高いセキュリティを提供し、オプション 1 を使用する場合よりもホーム サーバーが侵害されるリスクがなくなりますが、秘匿性によるセキュリティの非常に弱いバージョンであるオプション 1 とは異なり、データが暗号化されていることを確信できます。
これに対処する 1 つの方法は、自宅のサーバーに適切な VPS を設定することです。そうすれば、オフサイトの VPS が侵害され、何らかの方法でそれを利用して自宅のサーバーへの高度なアクセス権を侵害できたとしても、攻撃者は VM 内にとどまることになります。