将域分配给 RDS 实例是个坏主意?
Bad idea to assign a domain to an RDS instance?
我在我的多个网站上使用 RDS。将子域指向该 RDS 服务器会是一个 bad/unsafe 想法吗?这会对安全产生负面影响吗?
您可以为您的 RDS 实例分配一个子域。这使它们更易于记忆和/或管理。如果您使用的是 Route 53,请将 CNAME 记录用于 RDS 端点。
但是,请仔细考虑这个的安全性。通常,您不希望数据库 public 仅可用。在大多数情况下,您的数据库应该位于您的私有子网中,以保护它们免受 public Internet 的影响。
如果您需要 public Internet 上的数据库,请使用定义明确的安全组和良好的密码策略来保护它们。无论您将其命名为什么域名,黑客都会找到您的数据库。他们使用 IP 地址扫描互联网。
如果您将 public DNS 记录分配给 RDS 实例,它将允许人们查询您的 DNS 并获取数据库服务器的基础地址。如果您没有在 RDS 实例上启用 "publicly accessible" 标志,那么它不会提供太多安全问题,因为有人仍然需要访问您的 VPC 才能访问 RDS 实例。
更好的解决方案是在您的 AWS 账户中创建一个新的 Route53 private hosted zone,并将其附加到您的 VPC。 Route53 专用区域允许您创建仅从您的 VPC 内解析的 DNS 条目。
我在我的多个网站上使用 RDS。将子域指向该 RDS 服务器会是一个 bad/unsafe 想法吗?这会对安全产生负面影响吗?
您可以为您的 RDS 实例分配一个子域。这使它们更易于记忆和/或管理。如果您使用的是 Route 53,请将 CNAME 记录用于 RDS 端点。
但是,请仔细考虑这个的安全性。通常,您不希望数据库 public 仅可用。在大多数情况下,您的数据库应该位于您的私有子网中,以保护它们免受 public Internet 的影响。
如果您需要 public Internet 上的数据库,请使用定义明确的安全组和良好的密码策略来保护它们。无论您将其命名为什么域名,黑客都会找到您的数据库。他们使用 IP 地址扫描互联网。
如果您将 public DNS 记录分配给 RDS 实例,它将允许人们查询您的 DNS 并获取数据库服务器的基础地址。如果您没有在 RDS 实例上启用 "publicly accessible" 标志,那么它不会提供太多安全问题,因为有人仍然需要访问您的 VPC 才能访问 RDS 实例。
更好的解决方案是在您的 AWS 账户中创建一个新的 Route53 private hosted zone,并将其附加到您的 VPC。 Route53 专用区域允许您创建仅从您的 VPC 内解析的 DNS 条目。