Temos um problema de criptografia de um fornecedor intermediário para um banco de dados Oracle . Podemos usar conexões de banco de dados criptografadas e fizemos isso em 90% dos casos.
Nossa equipe de segurança nos informou que, como essa conexão passa por um link, tudo precisa ser seguro.
Um cliente de banco de dados é um fornecedor de nível intermediário proprietário para o qual solicitamos a atualização com links SSL JDBC criptografados, e eles nos informaram que o prazo para isso é de dois anos. Precisamos ter uma solução de segurança em um prazo menor.
Nossa equipe de segurança nos informou que o stunnel pode ser uma solução potencial para esse problema. Isso requer a configuração de um servidor, chaves no servidor e um cliente.
Já rodamos um servidor ssh na caixa em que o banco de dados Oracle está rodando, com chaves para configuração de usuários.
Parece-me que stunnel duplica o padrão de ssh.
- servidor - servidor stunnel vs servidor ssh
- configuração de chave do servidor - configuração de chave stunnel vs usuários openssh definindo suas chaves no servidor
- client - Usando um cliente ssh vs usando um cliente stunnel
O stunnel pode ser útil nos casos em que você ainda não está executando um servidor openssh ou onde deseja um sistema de gerenciamento de chaves diferente.
Agora posso estar faltando alguma coisa na minha análise. Pode haver uma característica do stunnel que eu preciso que não consigo ver.
Minha pergunta é: o tunelamento ssh será uma maneira mais simples de resolver meu problema de criptografia de link em vez de stunnel?
EDITAR
- Este link já está dentro de uma rede segura. Não é público. Mas são os serviços financeiros - onde o modelo de ameaça envolve análise de hard shell e soft core. Não é bom o suficiente ter um link inseguro dentro de uma rede segura - porque você não confia no interior da sua rede.
Eu apenas criaria uma conexão IPSec entre os dois sistemas e não me preocuparia com ssh/stunnel.
Hoje eu usaria o WireGuard . É muito mais simples de configurar e trabalhar.