У меня есть приложение (форум PHP) и база данных на разных серверах, и я хочу убедиться, что соединение между ними безопасно. Я взялвсе предварительные шагио которых я узнал, и мне интересно, следует ли мне защитить соединение с помощью SSH-туннелирования или OpenVPN.
Проблема в том, что, как мне сказали, SSH-туннель и OpenVPN могут снижать производительность, особенно когда приложение выполняет интенсивную запись (т. е. большой объем данных постоянно передается в базу данных и из нее).
Мне бы хотелось узнать, подключают ли люди в реальном мире серверы приложений и баз данных с помощью SSH или OpenVPN, или они считают это ненужным, или есть какие-то альтернативы?
ПРАВКА (1):Серверы приложений и баз данных подключены через частную сеть, предоставленную моим поставщиком услуг хостинга, но я слышал, что для любого другого пользователя (например, хакера) в частной сети (т. е. других клиентов, таких как я) это просто публичный IP-адрес.
решение1
Если серверы находятся в одной локальной сети (или в EC2 VPC и т. д.), то нет, я не шифрую данные между ними. Однако, если трафик проходит через открытый интернет (например, с "устаревшими" не-VPC серверами EC2), то шифрование — отличная идея.
Тем не менее, я бы не выбрал ни OpenVPN, ни SSH-туннели для этого. Лучше рассмотрите IPSec, скорее всего, в транспортном режиме. Это зашифрует содержимое пакетов, но оставит IP-заголовки на месте, так что вам не придется возиться с маршрутизацией.
Я рекомендую IPSec среди других компонентов, поскольку после настройки он, как правило, гораздо стабильнее двух других вариантов и требует меньше «возни» в долгосрочной перспективе.