Voy a lanzar un nuevo servicio web, pero tengo pocos fondos para iniciar este negocio. Estuve echando un vistazo a los servidores de infraestructura dedicada de OVH, pero un servicio así cuesta al menos 250 $ al mes, demasiado para mí en este momento. ¿Por qué estaba buscando una infraestructura dedicada? Porque ejecutaría el servidor web en una máquina y realizaría la replicación de la base de datos en otra máquina física, en una red privada (OVH Infrastructure me permite crear una red privada virtual entre mis servidores). Los costes son demasiado altos para mí en este momento, pero mientras tanto no renunciaría a la replicación de bases de datos. Por lo tanto, pensé que podría comprar un buen servidor dedicado (no en la nube, 4c/8t - 32 GB de RAM - 3 TB SDD) donde ejecutar LAMP y luego replicar las bases de datos MySQL en otro servidor pequeño, incluso un VPS barato, configurando SSL para el Usuario de MySQL que ejecutará la replicación.
Mis preguntas son:
- ¿Cuáles son los riesgos de seguridad al configurar la replicación en una red no privada?
- ¿Es SSL suficiente para ocultar datos de tráfico entre el servidor web y el otro?
- ¿Qué tan difícil es detectar paquetes desde un servidor web, teniendo en cuenta que OVH es una empresa profesional que ofrece lo mejor en términos de seguridad? Y si alguien es capaz de hacerlo, ¿cuáles son los riesgos que puedo correr?
Muchas gracias.
JZ
Respuesta1
Parece que estás pensando demasiado en esto. Si recién está iniciando este servicio web, no es posible que necesite tanto hardware.
Lo mejor sería alquilar algo más barato (un VPS o una instancia de uno de los proveedores de nube más populares) y replicarlo dentro de su red privada.
Además, con un servicio web tan pequeño, la replicación parece redundante. Simplemente realice copias de seguridad con la frecuencia que pueda. Una vez que comience a ganar dinero para comprar un servidor de base de datos secundario, debería considerar la replicación externa y realizar copias de seguridad de ese servidor.
En cuanto a su pregunta real:
Sí, es un riesgo de seguridad importante replicarlo a través de Internet pública. SSL lo mitiga un poco, pero la documentación de MySQL no explica si es compatible con TLSv1.1 o superior, por lo que no puedo decir qué tan seguro sería. Un túnel SSH podría ser una mejor opción que SSL en el servidor MySQL. La mejor opción sería una conexión VPN dedicada con configuraciones de alta seguridad.
Pero no hagas esto si esta es tu base de datos principal (que parece que podría serlo). Tendrá una latencia súper alta en todas sus llamadas a la base de datos. Simplemente coloque la base de datos en el servidor web y tome precauciones razonables para aislar los dos con la separación de privilegios adecuada.