确定从虚拟机到云端SQL的流量拦截风险

时间:2018-06-01 08:48:38

标签: google-compute-engine google-cloud-sql google-cloud-networking

假设我有一个VM实例,然后我使用MySQL客户端连接到Cloud SQL实例IP。根据{{​​3}}中的比较表,没有SSL的连接显然不安全(并且未加密)。

但它在多大程度上是不安全的?如果存在中间人攻击,则可以看到查询和查询结果。我想确定风险有多大。

具体来说,我想知道连接的风险:

  • 与云SQL实例完全相同的区域中的VM
  • 同一区域中的VM,但与Cloud SQL实例的区别
  • 另一个区域中的VM到Cloud SQL实例,但仍来自GCP

我认为,对于要执行的任何此类攻击,实际的谷歌基础设施必须已经受到损害,因为虚拟机无法收听其所连接的网络之外的流量。

1 个答案:

答案 0 :(得分:1)

实际的基础设施实际上不必受到损害,它所采取的一切都是因为同一网络中的实例因与Cloud SQL的连接细节而受到损害而可能受到损害。将实例保持为最新状态是responsibility of the users,这意味着与Cloud SQL的不安全连接的安全性也取决于实例的安全性。

为什么你确实在做不安全的连接?我问,因为使用Cloud SQL Proxy设置从实例到Cloud SQL的安全连接非常容易!不要在这里吹嘘自己的号角,但要看一看 this answer我前一段时间讨论了为什么要使用代理服务器。

无论如何,并且请记住,Cloud SQL只不过是一个可以通过其公共IP专门访问的托管实例,流量应该保留在所有这三种场景中的GCP内,这意味着唯一可能受到损害的是与连接到Cloud SQL的实例相同的子网络中的实例。