我正在Heroku上设置一个使用MySQL数据库的应用程序。
客户端希望使用具有允许其连接的显式白名单的MySQL数据库。然而,由于Heroku的动态IP性质,这被证明是相当复杂的;我们必须使用QuotaGuard这样的附加组件来为我们提供一个静态IP,我们可以在其中访问数据库。
此代理路由在其他地方引起了我们的问题,因为使用动态IP的其他服务正在尝试访问数据库并且失败。
我的问题是白名单确实提供的安全程度,而不是使用SSL的复杂用户名/密码。
有没有人有过这两方面的经验并且能说出优势劣势?
由于
答案 0 :(得分:1)
请允许我重新提出您的问题:
设置复杂动态IP跟踪系统与简单保护链接有什么好处?
顺便说一句,IP可以被欺骗,所以这个解决方案并不安全(对,这样的攻击需要一些非平凡的黑魔法,但实际上是非常可行的。)
配置MySQL以获得SSL支持实际上并不复杂very well documented。
如果您无法重新编译或重新配置MySQL,您仍然可以在客户端应用程序和MySQL服务器之间建立一个简单的VPN(并且只允许来自此VPN的连接)。
很遗憾,我不知道您的提供商是否允许在您的实例上进行此级别的配置。
因此,如果以上所有情况都不可能,您仍然可以创建一个随机的10000个字符的长密码。对纯粹主义者来说不够安全,但我希望黑客好运:)