prisma_logo
产品
Postgres
零配置无服务器Postgres
ORM
轻松与数据库交互
Studio
探索和操作您的数据
Accelerate
让您的数据库全球化
定价
资源
文档
博客
0K
登录注册

2024年4月9日

在 Prisma Accelerate 中通过静态 IP 支持增强数据库安全性

user
Ankur Datta
@ankur_datta_007

Prisma Accelerate 引入了静态 IP 支持,通过可预测的 IP 地址实现与数据库的安全连接,从而实现受控访问并最大限度地减少暴露。这使得 Accelerate 能够连接到需要受信任 IP 访问的数据库。

Enable Static IP in Prisma Accelerate

使用 IP 白名单限制数据库访问

在构建数据驱动型应用程序时,优先考虑数据库安全至关重要。这是因为数据库存储着应用程序数据,通常包含敏感的用户信息,需要受到保护。采用分层方法来提高数据库安全性是一种标准做法,即您将保护机制层叠起来以保护您的数据库。

可以考虑的一些安全措施包括:

  • 密码或双向 TLS 认证。
  • 防火墙和 IP 白名单,仅允许来自已知主机的数据库访问。
  • 使用私有网络和 VPC 将数据库访问与公共互联网隔离。
  • 使用 TLS (传输层安全) 确保所有流量加密。
  • 最小权限原则,即每个实体/组件(人员、服务账户)都拥有执行其目的所需的最小访问权限。

通过分层这些防御措施,您可以更好地保护您的数据库免受各类攻击,并降低安全漏洞的发生几率。

为了增加这些安全措施的一个层次,您可以通过配置防火墙和 IP 白名单来限制对可信 IP 地址的访问,从而限制公共互联网对数据库的访问。如果需要访问您数据库的 IP 地址是静态 IP 地址,那么这将成为可能。

Access request to your database from unauthorized IP

静态 IP 地址是指不会改变的 IPv4 或 IPv6 地址。与可能发生不可预测变化的动态 IP 地址不同,来自静态 IP 地址的流量更容易识别。

Dynamic vs Static IP

使用静态 IP 地址有利于流量管理和安全,因为您可以配置网络防火墙或设置 IP 白名单,以限制特定不变 IP 地址对您资源的访问。

在项目环境中,在您的 Prisma Accelerate 配置中启用静态 IP 允许 Accelerate 与已启用 IP 白名单的数据库一起使用。

Allow Accelerate

您可以将 Accelerate 的静态 IP 地址添加到数据库防火墙的 IP 白名单中,或者在您的私有网络中允许该 IP 地址的访问。这确保了 Accelerate 可以安全地访问您的数据库,同时拒绝其他未经授权的数据库请求。

Allow accelerate traffic and deny unknown traffic

在 Prisma Accelerate 中启用静态 IP

要在您现有或新的项目环境中为 Accelerate 启用静态 IP 支持,请确保您使用的是我们的 专业版 (Pro)商业版 (Business) 计划。有关更多信息,请参阅我们的定价页面

📒 在您的 Accelerate 设置中启用静态 IP 不会中断现有连接。

用户可以通过两种方式在平台控制台中选择使用静态 IP:

  1. 在为您的项目环境启用 Accelerate 时,在指定数据库连接字符串和连接池区域后,选择启用静态 IP。在启用 Accelerate 时启用静态 IP

  2. 对于已在使用 Accelerate 的项目,请在项目环境中导航到 Accelerate 设置以启用静态 IP。在更新 Accelerate 配置时启用静态 IP

在您的 Prisma Accelerate 配置中启用静态 IP 后,您将看到一个 IPv4 和 IPv6 地址列表,您将使用这些地址来允许 Accelerate 流量访问您的数据库。

使用 Accelerate 的静态 IP 设置您的数据库

配置您的数据库防火墙以限制传入连接到受信任的 IP 地址。一旦在项目环境中您的 Prisma Accelerate 配置中启用了静态 IP,将其添加到您的数据库提供商的操作方式因提供商而异。我们将通过一个示例来了解如何为托管在 MongoDB Atlas 上的数据库配置 IP 白名单。

在 MongoDB Atlas 中配置 IP 访问列表条目

以下是如何限制传入到 MongoDB Atlas 托管数据库的连接,使其仅源自 Prisma Accelerate:

  1. 在您的项目环境中为 Prisma Accelerate 启用静态 IP。
  2. 复制 IPv4 地址。

    ℹ️ MongoDB Atlas 目前只允许您在 IP 白名单中添加 IPv4 地址。

  3. 将 IPv4 地址添加到您的 MongoDB Atlas 网络白名单

    📒 访问 MongoDB文档,了解更多关于管理数据库 IP 访问的信息。

    1. 前往您的 MongoDB Atlas 项目仪表板。
    2. 在左侧导航栏的 安全 (Security) 部分,点击 网络访问 (Network Access)IP 访问列表 (IP Access List) 选项卡将显示。
    3. 点击 ➕ 添加 IP 地址 (Add IP Address)
    4. 然后在标题为 添加 IP 访问列表条目 (Add IP Access List Entry) 的弹出窗口中,在 访问列表条目 (Access List Entry) 字段中继续添加您之前复制的 IPv4 静态 IP 地址。您可以选择在 备注 (Comment) 字段中添加备注来命名该条目,例如“Accelerate IP”,以便稍后识别该静态 IP 地址。
    5. 点击 确认 (Confirm) 完成此步骤。
    6. 通过点击 操作 (Actions) 列中的 删除 (Delete) 按钮,删除其他 IP 地址,例如允许公共访问数据库的 IP 地址条目 0.0.0.0/0

大功告成!只需几个步骤,您就为您的 MongoDB 数据库增加了一层安全保护,确保 Prisma Accelerate 可以访问您的数据库,同时拒绝未经授权的访问请求。

让您的数据库更安全

数据库安全性对于数据驱动型应用程序越来越重要,为数据库添加额外的保护层可以降低敏感数据暴露的风险。

只需几个步骤,您就可以提高数据库的安全性,并确保 Accelerate 仍然可以访问您的数据库,同时拒绝来自未经授权 IP 的访问请求。

如果您需要任何帮助或有疑问,请在我们的 Discord 社区中联系我们。


前往平台控制台

通过在我们的 X 上发帖,与我们分享您使用 Prisma Accelerate 的经验。要随时了解新的激动人心的功能发布,请关注我们的更新日志

公告数据平台

不要错过下一篇文章!

订阅 Prisma 简报

© . All rights reserved.