Introdução rápida: pequena empresa, recursos muito limitados. Eu praticamente faço tudo, incluindo tirar o lixo.
Estamos rodando uma instância do MySQL internamente há anos e funcionou bem, mas acho que isso é apenas boa sorte. Temos vários computadores clientes que são implantados em locais de fornecedores e, às vezes, feiras. Essas máquinas clientes precisam acessar o banco de dados. Atualmente estamos facilitando o acesso seguro através de uma VPN à nossa rede. Nosso firewall não tem um buraco aberto para o MySQL.
A solução VPN é penosa e tem suas próprias implicações de segurança. Também estou cada vez mais nervoso em manter minha própria instância do MySQL online e disponível. Eu me deparei com o serviço RDS da AWS da Amazon e parecia PERFEITO! No entanto, encontrei o problema do grupo de segurança imediatamente e percebi que precisaria conceder acesso total e ilimitado a todos os IPs, devido ao fato de eu não ter controle sobre os intervalos de IP das máquinas clientes. Confie em mim, não tenho ideia do que será o IPS deles.
Eu li que é uma prática muito ruim expor um banco de dados ao público e que, quando você absolutamente precisa fazer isso, é melhor implantar uma API de serviços da Web no banco de dados. Seria bom fazer isso, mas não há como eu ter tempo (neste momento) para escrever um ponto de extremidade de serviços da Web para todos os aplicativos.
Então, finalmente .... minha pergunta: Quais são as ameaças que enfrentaríamos ao expor nossa instância de banco de dados a todos os IPs? Nós não somos um banco, não somos uma empresa pública - ninguém realmente sabe sobre nós, então parece que um ataque direcionado é improvável. No entanto, sou completamente ignorante quanto a ameaças de segurança e "o que há por aí" - há ameaças que examinam todos os intervalos de IP que procuram um servidor para responder e, quando isso acontece, eles atacam "apenas por diversão"?
Para ser claro, eu sei que isso é contra as melhores práticas e eu não preciso de uma palestra, estou procurando conselhos do mundo real sobre a probabilidade de ataque - se é que é possível determinar.
BTW, eu encontrei esta pergunta e está relacionado, mas não exatamente o que eu preciso. Eu só queria incluí-lo para que os outros não respondam ligando a ele. Banco de dados público do Amazon RDS?
Se tiver uma porta aberta na rede, é um alvo. Tão simples como isso. Há um ambiente muito hostil por aí, e os botnets fornecem muitos recursos para investigar as vidas na rede.
Se você está com pressa e a solução atual é dolorosa, mas funciona, eu não a tocaria. Pense mais, pesquise suas opções e não aja até saber o que vai implementar e por quê.