Zewnętrzna baza danych a bezpieczeństwo

Question

Cześć, tworzę projekt aplikacji webowej w asp.net. Zawsze pracowałem na bazach danych które są zainstalowane na tym samym serwerze co IIS. Tak jak to wygląda w typowych usługach hostingowych wielu firm. Czasami jednak usługodawca hostingu ogranicza wybór baz danych do np MSSQL i MySQL.  Gdybym chciał np. postawić bazę danych w MongoDB to musiałbym skorzystać z usług innej firmy hostingowej. Jak w takim przypadku wygląda kwestia bezpieczeństwa samej bazy danych jak i połączenia Asp.net z MongoDB? Wydaje mi się, że trzymanie otwartej bazy tj każdy w internecie będzie mógł próbować się połączyć bezpośrednio z bazą danych i próbować złamać hasło, które da dostęp do całej bazy jest raczej złym rozwiązaniem.  Może lepszym pomysłem jest napisane aplikacji WebAPI która będzie zainstalowana na serwerze z bazą i będzie obsługiwać operacje oraz uwierzytelnienie i autoryzacje zapytań. Hasło oczywiście będzie można próbować złamać ale przynajmniej będzie trudniejszy dostęp do wszystkich danych. Co o tym sądzicie?

Comments

A nie łatwiej rozwiązać problem na poziomie firewalla?

Answer 1

Zawsze pracowałem na bazach danych które są zainstalowane na tym samym serwerze co IIS. Tak jak to wygląda w typowych usługach hostingowych wielu firm.

Wątpię czy pod spodem jest to ta sama maszyna.

Co do bazy na innym serwerze:

1. Długie hasło, oczywiście nie commitowane do repo z kodem.
2. Niestandardowy wysoki port pod którym dostępna jest baza.
3. Maszyna/vps dostępna tylko z sieci prywatnej?
4. Nie wiem jak sytuacja wygląda w Mongo, ale w MySQLa możesz odpowiednio skonfigurować aby łączyć się do niego tylko z określonych adresów.
5. Wirtualizacja/konteneryzacja.
6. Wyłączenie ipv6 jeśli nie korzystasz. 
7. Wycięcie zbędnego ruchu na firewallu 
8. Standardowy monitoring maszyny oraz sieci
9. Storage logów + systemy do ich analizy

Nigdy nie zabezpieczysz się całkowicie, ale najlepsza obrona to taka, która podnosi koszta jakie musi ponieść atakujący.