新しい Web サービスを立ち上げるつもりですが、このビジネスを始めるための資金がほとんどありません。OVH 専用インフラストラクチャ サーバーを検討していましたが、そのようなサービスは少なくとも月額 250 ドルかかるため、現時点では高すぎます。専用インフラストラクチャを検討していたのはなぜでしょうか。それは、Web サーバーを 1 台のマシンで実行し、データベースのレプリケーションをプライベート ネットワーク内の別の物理マシンで実行するためです (OVH インフラストラクチャを使用すると、サーバー間に仮想プライベート ネットワークを作成できます)。現時点ではコストが高すぎますが、その間はデータベース レプリケーションを放棄するつもりはありません。そのため、LAMP を実行するための適切な専用サーバー (クラウドではなく、4c/8t - 32 GB RAM - 3TB SDD) を購入し、mysql DB を別の小さなサーバー (安価な VPS でも良い) にレプリケーションして、レプリケーションを実行する mysql ユーザー用に SSL を設定できると考えました。
私の質問は次のとおりです:
- 非プライベートネットワークでレプリケーションを設定する場合のセキュリティ上のリスクは何ですか?
- SSL は、Web サーバーと他のサーバー間のトラフィック データを隠すのに十分ですか?
- OVH はセキュリティの面で最高のサービスを提供する専門会社であるにもかかわらず、Web サーバーからのパケットをスニフするのはどれほど難しいのでしょうか。また、誰かがそれを実行できた場合、どのようなリスクに遭遇する可能性があるのでしょうか。
どうもありがとう。
JZ
答え1
考えすぎているようですね。この Web サービスを始めたばかりであれば、それほど多くのハードウェアが必要になるはずがありません。
もっと安価なもの(VPS または人気のあるクラウド プロバイダーのインスタンス)をレンタルし、そのプライベート ネットワーク内でレプリケーションを行うのが最善です。
また、このような小規模な Web サービスでは、レプリケーションは冗長に思えます。できるだけ頻繁にバックアップを取ってください。セカンダリ データベース サーバーを購入できるだけの資金が貯まったら、オフサイト レプリケーションを検討し、そのサーバーからバックアップを取ってください。
実際の質問に関しては:
はい、パブリック インターネットを介して複製することは大きなセキュリティ リスクです。SSL はそれをある程度軽減しますが、MySQL のドキュメントでは TLSv1.1 以上をサポートしているかどうかは説明されていないため、どの程度安全であるかはわかりません。mysql サーバーでは、SSL よりも SSH トンネルの方が良い選択肢かもしれません。最適な選択肢は、セキュリティ設定の高い専用 VPN 接続です。
ただし、これがプライマリ データベースである場合 (そうである可能性は高いようです)、これを行わないでください。すべてのデータベース呼び出しで非常に高いレイテンシが発生します。DB を Web サーバーに配置し、適切な権限分離によって 2 つを分離するための合理的な予防措置を講じてください。