私は自分のアプリ(PHPフォーラム)とデータベースを別々のサーバーに置いており、それらの間の接続が安全であることを確認したいと思っています。すべての準備段階私が知るようになったのは、SSH トンネリングまたは OpenVPN を介して接続を保護する必要があるかどうかです。
問題は、SSH トンネルと OpenVPN がパフォーマンスを圧迫する可能性があることです。特に、アプリの書き込みが重い場合 (つまり、大量のデータがデータベースとの間で絶えず転送される場合) に顕著になります。
私が知りたいのは、現実世界では、人々は SSH または OpenVPN を使用してアプリとデータベース サーバーを接続するのか、それともそれを不要と考えているのか、あるいは代替手段があるのかということです。
編集(1):アプリとデータベース サーバーは、ホスティング サービス プロバイダーが提供するプライベート ネットワーク経由で接続されていますが、プライベート ネットワーク上の他の人 (つまり、私のような他の顧客) にとっては、パブリック IP アドレスと同じように見えると聞きます。
答え1
サーバーが同じ LAN (または EC2 VPC など) 上にある場合は、サーバー間のデータを暗号化しません。ただし、トラフィックがオープン インターネットを通過する場合 (たとえば、「レガシー」非 VPC EC2 サーバーの場合)、暗号化することをお勧めします。
とはいえ、私はこれに OpenVPN も SSH トンネルも選択しません。むしろ、IPSec (おそらくトランスポート モード) を検討してください。これにより、パケットの内容は暗号化されますが、IP ヘッダーはそのまま残るため、ルーティングをいじる必要がありません。
他のコンポーネントよりも IPSec をお勧めします。一度設定すると、他の 2 つのオプションよりもはるかに安定し、長期的には「いじくり回す」作業が少なくなるためです。