Google compute engine 确定虚拟机对云SQL的流量拦截风险

假设我有一个VM实例，然后使用MySQL客户端连接到云SQL实例IP。根据中的比较表，没有SSL的连接显然是不安全和不加密的

但它在多大程度上不安全？如果有中间人攻击，则可以看到查询和查询结果。我想确定风险有多大

具体而言，我想知道从以下方面连接的风险：

位于与云SQL实例完全相同的区域中的VM 同一区域中的VM，但与云SQL实例的差异区域 另一个区域中的VM连接到云SQL实例，但仍然来自GCP

---

我假设，对于任何此类攻击，实际的谷歌基础设施都必须受到破坏，因为虚拟机不可能监听它所连接的网络之外的流量。

实际的基础设施实际上不必受到破坏，只需要同一网络中的一个实例被泄露，您与云SQL的连接细节就可能被泄露。将实例保持为最新状态视为一项挑战，这意味着与云SQL的不安全连接的安全性也取决于实例的安全性

你到底为什么要做不安全的连接？我之所以这么问，是因为通过使用云SQL代理来设置从实例到云SQL的安全连接非常容易！不是吹响我自己的号角，而是看看 我刚才说了你为什么要使用代理

---

无论如何，请记住，云SQL只不过是一个可通过其公共IP独家访问的托管实例，在所有这三种情况下，流量都应保持在GCP内，这意味着唯一可能被破坏的是与连接到云SQL的实例位于同一子网络中的实例。

嘿，好了！这个问题更适合服务器故障！你能把它移到那个网站吗？谢谢感谢您的回答，我将尝试将其移动到服务器Vault。减少工作或设置基本上是原因。不管怎样，最好还是使用SQL代理。但我仍然很困惑，为什么你说同一个子网络上的受损实例会获得云SQL连接的详细信息。您是否100%确定其他实例可以通过这种方式窃听？这基本上意味着gcp网络提供了网络集线器的安全级别，甚至不是交换机。你提出了一个有效的问题，我只是根据过去的经验假设是这样的。我会试着调查的。你是对的，我只是试了一下，事实并非如此。我将编辑响应。愚蠢的错误，嗯……我编辑了第一段的语言，但没有完全删除它。是的，实例之间的流量是相互隔离的，可以减少ARP欺骗和直接的流量捕获，但这并不能阻止受损实例被用来进入其他实例等等。这是我第一段的底线。我想连接加密毫无意义，因为你的MySQL客户端实例被黑客攻击了…：尽管如此，请尝试一下SQL代理！它非常容易安装，它实际上只是一个二进制文件，你给它一些参数，然后砰的一声，你就有了一个云SQL实例的安全线路！