我们有一个从供应商中间层到Oracle 数据库的加密问题。我们可以使用加密的数据库连接,并且已经完成了 90% 的案例。
我们的安全团队告诉我们,由于此连接是通过链接进行的,因此一切都需要安全。
一个数据库客户端是专有的中间层供应商,我们已要求使用加密的 SSL JDBC 链接对其进行升级,他们已告知我们此时间为两年。我们需要在更短的时间内有一个安全解决方案。
我们的安全团队告诉我们,stunnel可能是解决此问题的潜在解决方案。这需要设置服务器、服务器上的密钥和客户端。
我们已经在运行 Oracle 数据库的机器上运行了一个ssh 服务器,并带有用于用户设置的密钥。
在我看来,stunnel 复制了 ssh 的模式。
- 服务器 - stunnel 服务器与 ssh 服务器
- 服务器密钥设置 - stunnel 密钥设置与 openssh 用户在服务器上设置其密钥
- 客户端 - 使用ssh 客户端与使用 stunnel 客户端
Stunnel 在您尚未运行 openssh 服务器或您想要不同的密钥管理系统的情况下可能很有用。
现在我的分析中可能遗漏了一些东西。我需要的 stunnel 可能有一个我看不到的功能。
我的问题是:ssh 隧道会比 stunnel 更简单地解决我的链接加密问题吗?
编辑
- 此链接已在安全网络中。它不公开。但它是金融服务——威胁模型涉及硬壳、软核分析。在安全网络中拥有不安全的链接是不够的——因为您不信任网络内部。
我只会在两个系统之间创建一个 IPSec 连接,而不用担心 ssh/stunnel。
今天我会使用WireGuard。它的设置和使用要简单得多。