Ssl 客户端、负载平衡器和服务器之间的安全连接

Ssl 客户端、负载平衡器和服务器之间的安全连接,ssl,https,amazon-ec2,load-balancing,amazon-elastic-beanstalk,Ssl,Https,Amazon Ec2,Load Balancing,Amazon Elastic Beanstalk,在过去的一周左右的时间里,我开始接触AWS的世界,尤其是弹性豆茎和负载平衡 我正在开发的应用程序使用我正在全局应用的自定义RequireHttps属性强制SSL/HTTPS连接。我最初在使用这种设置配置负载平衡器时遇到了问题,但它看起来确实像预期的那样工作 我的问题源于我在设置负载平衡器/RequireHttps属性时浏览了一下。引用这篇博文: 使用弹性豆茎时。。。负载平衡器和应用程序服务器之间的连接不安全。但是,您不需要关心负载平衡器和服务器之间连接的安全性,但需要关心客户端和负载平衡器之间的

在过去的一周左右的时间里,我开始接触AWS的世界,尤其是弹性豆茎和负载平衡

我正在开发的应用程序使用我正在全局应用的自定义RequireHttps属性强制SSL/HTTPS连接。我最初在使用这种设置配置负载平衡器时遇到了问题,但它看起来确实像预期的那样工作

我的问题源于我在设置负载平衡器/RequireHttps属性时浏览了一下。引用这篇博文:

使用弹性豆茎时。。。负载平衡器和应用程序服务器之间的连接不安全。但是,您不需要关心负载平衡器和服务器之间连接的安全性,但需要关心客户端和负载平衡器之间的连接

由于配置负载平衡器对我来说是一个全新的领域,我有点怀疑上面的说法是否完全正确


负载平衡器和服务器之间的连接真的不关我的事吗?不在负载平衡器处终止SSL并将sercure连接直接传递到服务器是否更好?

经过进一步研究,我偶然发现了以下关于security.stackexchange的帖子/讨论:

制造物品7:

在我看来,问题是“你相信你自己的数据中心吗?”。换言之,你似乎在试图很好地划定不受信任的网络的界限,信任开始了

在我看来,SSL/TLS信任应该终止于SSL卸载设备,因为管理该设备的部门通常也管理网络和基础设施。那里有一定数量的合同信任。下游服务器上没有加密数据的必要,因为支持网络的人通常也可以访问该服务器。(多租户环境中可能存在例外情况,或者需要更深入细分的独特业务需求)

SSL应该在负载平衡器处终止的第二个原因是,它提供了一个集中的位置来纠正SSL攻击,如犯罪或BEAST。如果SSL在不同的web服务器上终止,并且运行在不同的操作系统上,那么由于额外的复杂性,您更有可能遇到问题。保持简单,从长远来看你会有更少的问题


我能看出@makerofthings7所说的是有道理的。SSL是在负载平衡器还是在服务器上终止应该没有什么区别。

经过进一步的研究,我偶然发现了以下关于security.stackexchange的帖子/讨论:

制造物品7:

在我看来,问题是“你相信你自己的数据中心吗?”。换言之,你似乎在试图很好地划定不受信任的网络的界限,信任开始了

在我看来,SSL/TLS信任应该终止于SSL卸载设备,因为管理该设备的部门通常也管理网络和基础设施。那里有一定数量的合同信任。下游服务器上没有加密数据的必要,因为支持网络的人通常也可以访问该服务器。(多租户环境中可能存在例外情况,或者需要更深入细分的独特业务需求)

SSL应该在负载平衡器处终止的第二个原因是,它提供了一个集中的位置来纠正SSL攻击,如犯罪或BEAST。如果SSL在不同的web服务器上终止,并且运行在不同的操作系统上,那么由于额外的复杂性,您更有可能遇到问题。保持简单,从长远来看你会有更少的问题

我能看出@makerofthings7所说的是有道理的。SSL是在负载平衡器还是在服务器端终止应该没有什么区别