由于安全顾问的推荐,我最近将一个应用程序从heroku迁移到了amazon-ec2。然而,他并不知道heroku和怀疑仍然存在。
是否可以限制访问Heroku PostgreSQL数据库,只能由应用程序访问它?
你会推荐Heroku用于安全关键应用程序吗?
答案 0 :(得分:7)
这是一个看似复杂的问题,因为“受限制以便只能由应用程序访问”的想法是不明确的。如果您的最终目标只是让您的数据尽可能安全,那么Heroku vs. AWS与锁定和密钥下的物理服务器之间的关系将涉及一些成本效益分析,而不仅仅是如何访问数据库。
Heroku通过身份验证限制数据库访问。您在数据库和应用程序之间共享一个秘密(用户名/密码)。拥有该秘密的任何人都可以访问该数据库。为了便于保密,所有数据库访问都应该通过SSL进行。
除了身份验证之外,还有其他限制访问的方法,但其中许多方法与基于云的方法不兼容。此外,他们中的许多人要求您对服务器的环境进行更多控制,并且您在这方面的责任越多,问题与谁可以点击数据库上的postgres端口完全分开的可能性就越大
直接使用AWS而不是像Heroku这样的paas提供商使用AWS的优势在于您可以自己配置所有内容。缺点是你必须自己配置一切。我建议您仅在拥有一组合格且专注的系统管理员来配置,监控和更新您的环境时才在托管服务上使用AWS。阅读Heroku的安全策略页面。您是否至少在AWS上以自己的配置保护服务器?如果没有,那么您可能遇到的问题比数据库周围有多少层冗余。