【问题标题】:Secure connections between client, load balancer and server客户端、负载均衡器和服务器之间的安全连接
【发布时间】:2013-04-26 09:57:26
【问题描述】:

在过去一周左右的时间里,我开始了解 AWS 的世界,尤其是 Elastic Beanstalk 和负载平衡...

我正在开发的应用程序使用我在全球范围内应用的自定义 RequireHttps 属性强制执行 SSL/HTTPS 连接。我最初在使用此设置配置负载平衡器时遇到问题,但它似乎确实按预期工作。

我的问题源于a blog post 我在设置负载均衡器/RequireHttps 属性的时候看了一眼。引用这篇博文:

使用 Elastic Beanstalk 时...负载均衡器和应用程序服务器之间的连接不安全。但是,您不需要关心负载均衡器和服务器之间的连接的安全性,但您需要关心客户端和负载均衡器之间的连接。 p>

由于配置负载平衡器对我来说是一个全新的领域,我有点怀疑上述是否完全正确。

负载平衡器和服务器之间的连接真的与我无关吗? 在负载均衡器处终止 SSL 并将安全连接直接传递到服务器会更好吗?

【问题讨论】:

    标签: ssl https amazon-ec2 load-balancing amazon-elastic-beanstalk


    【解决方案1】:

    经过进一步研究,我偶然发现了关于 security.stackexchange 的以下帖子/讨论:Should SSL be terminated at a load balancer?

    makerofthings7:

    在我看来,问题是“您是否信任自己的数据中心”。换句话说,您似乎正在努力划清不受信任的网络所在的位置,然后信任就开始了。

    在我看来,SSL/TLS 信任应该终止于 SSL 卸载设备,因为管理该设备的部门通常还管理网络和基础设施。那里有一定程度的合同信任。 在下游服务器上加密数据是没有意义的,因为支持网络的同一个人通常也可以访问它。 (在多租户环境或需要更深入细分的独特业务需求中可能例外)。

    SSL 应在负载平衡器处终止的第二个原因是因为它提供了一个集中位置来纠正 SSL 攻击,例如 CRIME 或 BEAST。如果 SSL 在各种 Web 服务器上终止,在不同的操作系统上运行,由于额外的复杂性,您更有可能遇到问题。保持简单,从长远来看,您会遇到更少的问题。

    我可以看到@makerofthings7 所说的有道理。 SSL 是在负载均衡器还是服务器端终止应该没什么区别。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2010-12-25
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-07-09
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多