#sql-server #security #amazon-rds
#sql-server #Безопасность #amazon-rds
Вопрос:
Я пытаюсь установить безопасное соединение с базой данных SQL Server через Интернет. По ссылке ниже описана конфигурация «Шифрование определенных соединений»:
https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Концепции.General.SSL.Using.html
Я читал в другом месте, что взаимная аутентификация (сервер, аутентифицирующий клиента на основе сертификата) не поддерживается SQL Server. Эквивалентна ли описанная конфигурация взаимной аутентификации или что-то совершенно другое?
Если это что-то другое, существуют ли другие функции безопасности RDS (помимо белого списка ip), которые могут повысить безопасность имени пользователя и пароля?
Редактировать: Соединение будет зашифровано, поэтому, когда я говорю «повысить безопасность», я имею в виду в том смысле, что это сработало бы как второй фактор аутентификации.
Комментарии:
1. Эти две концепции совершенно разные. Взаимная аутентификация не предотвратила бы атаку «человек посередине» или не позволила бы кому-либо захватить незашифрованные данные. Взаимная аутентификация совершенно бесполезна, если кто-то может просто захватить все
2. Кстати, подходящее место для проверки функций безопасности SQL Server — документация SQL Server. Существует множество функций, которые обеспечивают гораздо лучшую безопасность, чем взаимная аутентификация. Разные функции защищают от разных атак. Взаимная аутентификация предотвратила бы подключение компьютера-изгоя, но …. для этого и существуют VPN. Использование взаимной аутентификации вместо VPN ослабляет безопасность.
3. Существуют и другие, более мощные функции. Всегда зашифровано , например, шифруется на стороне клиента и никогда не раскрывает ключи серверу. Даже администратор базы данных не сможет прочитать эти данные. Это полезно, если это то, от чего вы действительно хотите защититься. В противном случае VPN будет гораздо более безопасным вариантом
4. Здесь уместен случай с компьютером-изгоем, так что хороший момент для VPN. Спасибо.
5. Лучшим вариантом было бы
What is a database doing on the public internet? Вы не можете просто оставить свою базу данных доступной для всех. Взаимная аутентификация не защитит вас от атак, для этого вам нужен брандмауэр или VPN.