Tenho meu aplicativo (um fórum PHP) e banco de dados em servidores separados e quero ter certeza de que a conexão entre eles é segura. eu tenho tomadotodas as etapas preliminaresque eu conheço e estou me perguntando se devo proteger a conexão por meio de túnel SSH ou OpenVPN.
O problema é que, segundo me disseram, o SSH Tunnel e o OpenVPN podem prejudicar o desempenho, especialmente quando o aplicativo tem muita gravação (ou seja, muitos dados são constantemente transferidos de e para o banco de dados).
O que eu gostaria de saber é, no mundo real, as pessoas conectam servidores de aplicativos e bancos de dados usando SSH ou OpenVPN, ou consideram isso desnecessário, ou existem alternativas?
EDITAR (1):Os servidores de aplicativos e bancos de dados estão conectados através da rede privada fornecida pelo meu provedor de serviços de hospedagem, mas ouvi dizer que para qualquer outra pessoa (pense em um hacker) na rede privada (ou seja, outros clientes como eu) é como um endereço IP público.
Responder1
Se os servidores estiverem na mesma LAN (ou em um EC2 VPC, etc.), então não, eu não criptografo dados entre eles. No entanto, se o tráfego atravessa a Internet aberta (por exemplo, com servidores EC2 não VPC "legados"), é uma ótima ideia criptografar.
Dito isto, eu não escolheria túneis OpenVPN nem SSH para isso. Em vez disso, considere o IPSec, provavelmente no modo de transporte. Isso criptografará o conteúdo do pacote, mas deixará os cabeçalhos IP no lugar para que você não precise se preocupar com o roteamento.
Eu recomendo o IPSec em vez dos outros componentes porque, uma vez configurado, ele tende a ser muito mais estável que as outras duas opções e requer menos "mexendo" no longo prazo.