null Asked: 2017-06-16 00:06:18 +0800 CST2017-06-16 00:06:18 +0800 CST 2017-06-16 00:06:18 +0800 CST 防止 AWS RDS MySQL 实例的 MITM 772 如果未设置 SSL 连接(AWS 上的默认设置),是什么阻止任何人嗅探 (MITM) RDS MySQL 实例(VPC 外部)和 Web 服务器之间的流量? security 1 个回答 Voted Best Answer Esa Jokinen 2017-06-16T01:07:00+08:002017-06-16T01:07:00+08:00 如果这两个条件都为真,通常没有什么可以阻止 MITM: 没有加密。 攻击者可以看到数据,即可以访问未加密数据经过的任何内容。 访问 VPC 中的数据库实例有多种场景。根据您的问题,我需要假设最坏的情况: DB Instance和EC2 Instance Not in a VPC: 虽然所有流量都可能进入亚马逊自己的(但公共的)网络(您可以使用它进行调查traceroute),但这意味着这两个条件都可能成立。因此,您应该启用 TLS 或将您的 RDS 移动到Amazon Virtual Private Cloud (VPC) 中,甚至两者兼而有之。 这与Amazon RDS 中的 RDS 文档安全性一致(仅引用了相关的列表项): 在 Amazon Virtual Private Cloud (VPC) 中运行您的数据库实例,以获得最大可能的网络访问控制。有关在 VPC 中创建数据库实例的更多信息,请参阅将 Amazon RDS 与 Amazon Virtual Private Cloud (VPC) 结合使用。 对运行 MySQL、Amazon Aurora、MariaDB、PostgreSQL、Oracle 或 Microsoft SQL Server 数据库引擎的数据库实例使用安全套接字层 (SSL) 连接;有关将 SSL 与数据库实例结合使用的更多信息,请参阅使用 SSL 加密与数据库实例的连接。 即使您遵循每一步来提高安全性,您仍然需要信任亚马逊。
如果这两个条件都为真,通常没有什么可以阻止 MITM:
访问 VPC 中的数据库实例有多种场景。根据您的问题,我需要假设最坏的情况: DB Instance和EC2 Instance Not in a VPC:
虽然所有流量都可能进入亚马逊自己的(但公共的)网络(您可以使用它进行调查
traceroute),但这意味着这两个条件都可能成立。因此,您应该启用 TLS 或将您的 RDS 移动到Amazon Virtual Private Cloud (VPC) 中,甚至两者兼而有之。这与Amazon RDS 中的 RDS 文档安全性一致(仅引用了相关的列表项):
即使您遵循每一步来提高安全性,您仍然需要信任亚马逊。