MySQLポート3306は暗号化されていますか？暗号化されていない場合、どのように暗号化できますか？

私は職場でシステムのセキュリティ監査を行っており、要件の1つは、パブリック/保護されていないネットワークを経由するすべてのトラフィックを暗号化することです。オフィスネットワークから外部サーバーの1つにあるポート3306経由でMySQLデータベースにアクセスしているため、MySQLへの接続を暗号化する必要があります。

すでに暗号化されていますか？暗号化されていない場合、どのように暗号化できますか？

私は派手なSSHポートフォワードやVPNを使用できないツールやスクリプトを使用しています...それはまだ可能ですか？

いいえ、デフォルトではmysqlトラフィックは暗号化されません。接続ごとにOpenSSLで動作するようにMySQL を設定するのが最善の策です。最近のほとんどのバイナリはSSLサポート付きで構築されていますが、ご使用のバージョンでサポートされているかどうかを確認するのは簡単です。ドキュメントから：

サーバーバイナリがSSLサポート付きでコンパイルされているかどうかを確認するには、-sslオプションを指定して起動します。サーバーがSSLをサポートしていない場合、エラーが発生します。

shell> mysqld --ssl --help
060525 14:18:52 [ERROR] mysqld: unknown option '--ssl'

デフォルトでは、MySQLはクライアント/サーバー通信を暗号化しません。

• https://dev.mysql.com/doc/refman/5.5/en/security-guidelines.html

SSL経由の接続を受け入れ、ユーザーにSSLの使用を要求するようにMySQLをセットアップできます。SSLセットアップのガイドは次のとおりです。

• https://dev.mysql.com/doc/refman/5.5/en/encrypted-connections.html

• MySQL 8

  • https://dev.mysql.com/doc/refman/8.0/en/encrypted-connections.html
  • https://dev.mysql.com/doc/refman/8.0/en/security-guidelines.html