У нас есть один из наших проектов, использующий Google CloudSQL Postgres DB. Нам очень нравится cloudsqlproxy и то, как он держит доступ к БД заблокированным за нашими аккаунтами Google (которые имеют 2FA).
У нас есть другой проект, использующий базу данных на другом управляемом сервисе. Отказ от этого сервиса невозможен, но мы хотели бы попробовать защитить входы в него — сейчас для защиты используются только старые учетные данные psql user/pass.
Я думаю, что решением может стать настройка контейнера, работающего с аналогичным прокси-сервером, который выполняет более интеллектуальную аутентификацию перед открытием порта прокси-сервера для членов нашей команды.
Простая идея — установить посередине ящик, который будет использовать SSH с переадресацией портов, а затем добавить в белый список сервера PSQL только этот ящик, но некоторые члены нашей команды не очень разбираются в технике, поэтому нам пришлось бы написать несколько скриптов для этого, и это не кажется хорошим решением.
Идеальным решением было бы решение, близкое к cloudsqlproxy, чтобы оно могло использовать существующие учетные записи, а не создавать новую учетную запись и каким-то образом привязывать ее к какой-то двухфакторной аутентификации.
Я гуглил, но не могу найти хорошее решение. Может быть, весь подход неверный и есть другой способ достичь цели лучшей защиты сервера.
решение1
Я думаю, что лучший способ достичь желаемого — этоОблачный VPNилиОблачное соединение.
Более конкретно:
Облачный VPNбезопасно подключает вашу одноранговую сеть к вашей сети Google Cloud (GCP) Virtual Private Cloud (VPC) через соединение IPsecVPN. Трафик, проходящий между двумя сетями, шифруется одним шлюзом VPN, а затем расшифровывается другим шлюзом VPN. Это защищает ваши данные при их передаче через Интернет. Вы также можете подключить два экземпляра Cloud VPN друг к другу.
Облачное соединениерасширяет вашу локальную сеть до сети Google через высокодоступное соединение с низкой задержкой. Вы можете использовать Dedicated Interconnect для прямого подключения к Google или использовать Partner Interconnect для подключения к Google через поддерживаемого поставщика услуг.
Вы также можете найтиЭта статьяполезно, так как оно дает некоторые базовые примеры