我知道,将数据库服务器放在专用子网中并根据需要使用堡垒主机访问它们是一个长期以来的传统。但具体想想云架构,这种设置真的有意义了吗?
我很难理解的是,为什么连接到我的RDS服务器的可公开访问的EC2实例比实现IAM数据库身份验证的可公开存取的RDS实例更安全?在这两种情况下,我都会使用安全组来限制传入连接。
我使用PostreSQL,根据AWS文档,启用IAM身份验证将强制使用IAM凭据(而对于MySQL,我认为密码身份验证仍然有效(。
那么,堡垒主机真的比IAM身份验证更安全吗?为什么?
最佳安全性具有多层安全性。例如,如果一名前员工拥有数据库的凭据,他们是否可以从您的公司网络之外访问该数据库?或者,如果有人访问了你的堡垒,他们也能访问数据库吗?
因此,是的,可以认为它足够安全,可以使用身份验证并限制对特定IP地址的访问。这完全取决于你的风险偏好。如果数据库中包含机密信息,如果这些信息暴露出来,会让您的公司非常尴尬,那么额外的安全层可能是值得的。