Comprendre les connexions aws et rds

Question

Je viens de commencer à travailler avec des instances AWS EC2, et je souhaite migrer la base de données MySQL sur l'EC2 vers une instance RDS.

Ma question concerne la sécurité, lorsque je me connecte à mon instance EC2, j'utilise un fichier de clé de sécurité (.pem) pour crypter ma connexion de l'ordinateur portable à l'EC2. Mais quand l'EC2 se connecte au RDS je crois qu'il utilisera le port 3306 sur le RDS et ne sera pas crypté? Est-ce un risque de sécurité pour mon application Web?

S'il s'agit d'un risque de sécurité, quelle est la meilleure pratique pour connecter de manière sécurisée l'EC2 au RDS?

Merci!

Answer 1

https://aws.amazon.com/rds/faqs/

Puis-je crypter les connexions entre ma demande et mon instance DB en utilisant SSL?

Oui, cependant, cette option n'est actuellement prise en charge que pour les moteurs MySQL, SQL Server et PostgreSQL. Amazon RDS génère un certificat SSL pour chaque instance DB.

Amazon RDS génère un certificat SSL pour chaque instance DB. Une fois qu'une connexion cryptée est établie, les données transférées entre l'instance DB et votre application seront cryptées pendant le transfert. Si vous souhaitez que vos données soient cryptées lorsqu'elles sont "au repos" dans la base de données, votre application doit gérer le cryptage et le déchiffrement des données. Notez également que la prise en charge SSL dans Amazon RDS permet de crypter la connexion entre votre application et votre instance DB. il ne devrait pas être utilisé pour authentifier l'instance DB elle-même.

http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_MySQL.html#MySQL.Concepts.SSLSupport

Answer 2

Vous pouvez configurer des règles dans votre groupe de sécurité pour autoriser uniquement les connexions à votre instance rds à partir d'une liste prédéfinie d'adresses IP ec2 si vous le souhaitez (ou d'autres ips). AWS rejettera tout trafic essayant d'accéder à ce RDS qui ne figure pas dans la liste.