Tengo mi aplicación (un foro PHP) y mi base de datos en servidores separados y quiero asegurarme de que la conexión entre ellos sea segura. Me he tomadotodos los pasos preliminaresque he llegado a conocer y me pregunto si debo asegurar la conexión a través de SSH Tunneling u OpenVPN.
El problema es que, según me han dicho, SSH Tunnel y OpenVPN pueden acaparar el rendimiento, especialmente cuando la aplicación requiere mucha escritura (es decir, se transfieren constantemente muchos datos hacia y desde la base de datos).
Lo que me gustaría saber es, en el mundo real, ¿la gente conecta servidores de aplicaciones y bases de datos mediante SSH u OpenVPN, o lo consideran innecesario, o existen alternativas?
EDITAR (1):Los servidores de la aplicación y la base de datos están conectados a través de la red privada proporcionada por mi proveedor de servicios de alojamiento, pero escuché que para cualquier otra persona (piense en un hacker) en la red privada (es decir, otros clientes como yo) es como una dirección IP pública.
Respuesta1
Si los servidores están en la misma LAN (o en una VPC EC2, etc.), entonces no, no cifro datos entre ellos. Sin embargo, si el tráfico atraviesa Internet abierto (por ejemplo, con servidores EC2 "heredados" que no son VPC), entonces es una gran idea cifrar.
Dicho esto, no elegiría túneles OpenVPN ni SSH para esto. Más bien, considere IPSec, probablemente en modo de transporte. Esto cifrará el contenido del paquete, pero dejará los encabezados IP en su lugar para que no tenga que perder el tiempo con el enrutamiento.
Recomiendo IPSec sobre los otros componentes debido al hecho de que una vez configurado, tiende a ser mucho más estable que las otras dos opciones y requiere menos "modificación" a largo plazo.