Wie sichere ich eine MySQL-Verbindung über das Netzwerk?

Question

Ich benutze Tomcat 7/MySQL 5.6 auf Centos 6. Es ist Zeit, die Datenbank zu einem anderen Server zu trennen. Was ist der beste Ansatz, um die Verbindung zwischen Tomcat und dem Back-End-MySQL-Server zu sichern? Es ist virtualisiert und ich möchte die Verbindung nicht über ein freigegebenes Netzwerk öffnen.

Ich denke Tunnel durch SSH. SSL scheint eine Menge Arbeit zu sein. Aber was ist der "empfohlene" Ansatz?

Answer 1

Sie müssen mit dem Senden von Datenverkehr über ein offenes Netzwerk vorsichtig umgehen. Das MySQL-Protokoll ist standardmäßig überhaupt nicht verschlüsselt. Wenn also jemand Pakete in Ihrem Netzwerk erfassen kann, können diese alle Ihre Daten sehen.

Ich bevorzuge entweder einen SSH-Tunnel oder eine VPN-Verbindung. Ich finde es einfacher zu konfigurieren.

Mein Kollege Ernie Souhrada bei Percona hat ein paar wirklich gute Blog-Artikel über die Effizienz der Verwendung eines SSH-Tunnels im Vergleich zu MySQL-Client-Optionen für die Verbindung über SSL und den Overhead des Handshakes bei jeder Verbindung veröffentlicht.

• http://www.mysqlperformanceblog.com/2013/10/10/mysql-ssl-performance-overhead/
• http://www.mysqlperformanceblog.com/2013/11/18/mysql-encryption-performance-revisited/

Die Auswirkungen auf die Leistung von SSL-Handshake, die Ernie berichtet wird nicht ziemlich viel von einem Problem für eine Tomcat-Umgebung, da Sie in der Regel einen Verbindungspool haben würde, und deshalb würden neue Verbindungen weniger häufig gemacht werden.