Недавно я создал кластер Cassandra на AWS. Я также написал клиентскую программу для доступа к ней. Все работает. Однако меня беспокоит безопасность. В моей клиентской программе мне только нужно было знать IP-адрес кластера, а затем я мог подключиться к нему и запустить на нем запросы. Разве это не плохо для безопасности? Как люди обычно делают это безопасно?Защита базы данных Кассандры на AWS
Благодаря
По умолчанию Cassandra устанавливает все функции безопасности отключены. Есть четыре основных функции, которые вы можете включить:
authenticator: PasswordAuthenticator в свой cassandra.yaml для включения.authorizer: CassandraAuthorizer в свой cassandra.yaml для включения.По крайней мере, я рекомендую включить внутреннюю проверку подлинности и авторизацию. Шифрование SSL несколько сложнее (хотя это все же хорошая идея), но может потребоваться на основе ваших корпоративных политик и чувствительности ваших данных. Это, конечно, в дополнение к применению соответствующих групп безопасности AWS для вашего кластера.
У вас должна быть группа безопасности, уже определенная для вашего кластера, даже если они по умолчанию. Проверка Security Groups for Your VPC
Как минимум, вы должны ограничить доступ общественности к портам, требуемым службой.
Я бы честно связал его с вашим IP-номером только, пока вы не получите лучшее представление об общих требованиях безопасности вашей реализации.
Лучше иметь две группы безопасности, одну для Кассандры и одну для приложения. Узлам Cassandra присваивается только внутренний IP-адрес, нет общедоступного IP-адреса и ограничивает доступ к порту Cassandra только из группы безопасности приложения. Это гарантирует, что приложение сможет получить доступ к Cassandra.
Вы также должны включить аутентификацию и авторизацию Cassandra, следуя official security guide.