Как стать автором
Обновить

Способы организации инфраструктуры с базами данных: от простого к сложному и эффективному

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров11K
Всего голосов 39: ↑38 и ↓1+46
Комментарии10

Комментарии 10

Он не маршрутизируется в интернете и доступен только в пределах приватной сети глобального роутера. Это гарантирует безопасность, в отличие от схемы, когда база данных и веб-сервер расположены на одной машине.

Интересно как это гарантирует безопасность? Если Вы про прямой доступ к базе по ip, то в обоих случаях он должен быть защищен файерволом.

Имхо, если злоумышленник имеет доступ к коду приложения, он имеет доступ и к базе. Более того, определить внедрение в базу в такой схеме сложнее, потому как для базы обращение выглядит вполне лигитимным, т.к. происходит со стороны приложения.

Да, в случае, когда база данных расположена в облаке Selectel, а веб-сервер — на отдельной машине, уровень безопасности выше. Потому что они общаются между собой через приватное L3 VPN-соединение, через глобальный роутер, без выхода в интернет. Это значит, что обратиться к базе данных можно только через серый IP-адрес. То есть злоумышленнику будет не достаточно «получить доступ к коду приложения»

Да, под "кодом" приложения я имел в виду "код, расположенный на веб-сервере" или даже "получить доступ на исполнение кода приложения".

Да пусть хоть записками общаются. Если злоумышленник уже находится на веб-сервере, то выявить его злой умысел можно только косвенно (например выкачивает всю базу, а не должен), т.к. все его запросы к базе будут с ip приложения. Не вижу как эта схема "гарантирует" что-то больше, чем схема расположения на одном сервере приложение/веб-сервера и базы. Разве что у вас на сервере БД есть анализатор запросов или подозрительной активности со стороны приложения, в чем сомневаюсь. Да и умный злоумышленник не будет сразу слать тыщи запросов...

Как понял я, в первом случае (все на дедике) вы получаете доступ до объекта который имеет публичный адрес. А на нем находится вся ваша инфраструктура в том числе и БД как на блюдечке! И совсем не факт что он получил доступ к "коду приложения". Он просто получил доступ ко всей файловой системе, этого достаточно.
Во втором случае (на дедике только то что нужно), вы получаете доступ только к той части инфраструктуры которой нужно смотреть наружу - например веб-сервер, прокси сервер и тп. Дальше нужно проводить анализ инфраструктуры и продумывать следующие шаги атаки. Это выглядит более трудоемким.

Но да вы правы, при желании взломать можно все что угодно, это всего лишь вопрос времени и ресурсов.

Имхо имея доступ к файловой системе приложения, вы получаете доступ к бд, где бы она ни находилась. Разве что параметры доступа к бд хранятся в памяти, а не на диске.

А если сгорит ЦОД в Selectel останется собственный сервер. Вот за такой заголовок и такой текст имеет смысл поставить минус. Из минусомёта. И контрольный минус, что бы наверняка.

Конечно, какой бы надежной ни была инфраструктура, всегда есть вероятность возникновения нештатных ситуаций, способных негативно повлиять на работу компании в целом.

Но для защиты серверных и технологических помещений в своих дата-центрах мы используем самые проверенные средства пожарной защиты, не экономя на надежности инфраструктуры и качества ОТВ. Высокий уровень защиты достигается за счет использования автономных центральных станций газового пожаротушения с веществом Хладон 125.

Подробнее о системах пожаротушения в дата-центрах мы рассказали в отдельной статье — читайте в нашем блоге: https://selectel.ru/blog/obzor-reshenij-dlya-pozharotusheniya-cod/

Заголовок: "Способы организации инфраструктуры с базами данных: от простого к сложному и эффективному".

Содержание: реклама сервиса.

Добрый день. В этом тексте мы хотели не только сравнить способы организации инфры с бд, но и ответить на вопросы клиентов — в частности, как связать managed databases с сервером через глобальный роутер. Об этом говорится в лиде статьи.

"Это решение дороже предыдущих, но в перспективе оно позволит сэкономить на обслуживании баз данных." Неа, не позволит. Такое решение подходит для небольших и средних проектов (типа мелкого веб-сайта или магазина). Когда у вас команда несколько человек и зарплата выделенного DBA/DevOps больше, чем затраты на подписку. Как только у проект разрастается до более-менее серьезных размеров, появляется DWH с аналитикой, то Managed Databases будет получаться или дорого, или очень дорого. К тому же минимум гибкости из-за невозможности тонкой настройки и контроля. Много раз видел такую картинку для AWS и Azure. Не думаю, что в данной рекламной статье решение будет превосходить ведущих клауд вендоров в эффективности.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий