La terminazione ssl è abilitata al bilanciamento del carico AWS ELB?

Question

Abbiamo un'applicazione Web in esecuzione su istanza ec2. Abbiamo aggiunto AWS ELB per instradare tutte le richieste all'applicazione su load balancer. Il certificato SSL è stato applicato a ELB.

Sono preoccupato se la comunicazione HTTP tra ELB ed istanza ec2 è protetta? o devo utilizzare la comunicazione HTTPS tra ELB ed istanza ec2?

AWS garantisce la sicurezza della comunicazione HTTP tra ELB ed istanza ec2?

Answer 1

Il controllo assoluto sulla sicurezza e le implementazioni cloud sono, a mio parere, due cose che non si combinano molto bene.

Per quanto riguarda la sicurezza del traffico tra l'ELB e le istanze EC2, è consigliabile distribuire le risorse in un VPC per aggiungere un nuovo livello di isolamento. AWS non offre alcuna garanzia di sicurezza.

Se i dati trasferiti sono troppo sensibili, si potrebbe anche voler utilizzare la distribuzione in un centro dati dedicato in cui è possibile avere un maggiore controllo sugli aspetti di rete. Inoltre, potresti voler esaminare le istanze single-tenant su EC2, poiché probabilmente stai condividendo le tue risorse fisiche con altri clienti EC2.

Detto questo, c'è un aspetto che è necessario tenere in considerazione: la terminazione SSL è un lavoro piuttosto costoso, quindi terminare SSL a livello di ELB consentirà alle istanze di back-end di concentrare le risorse sul soddisfacimento effettivo delle richieste, ma questo avrà anche un impatto sull'ELB (verrà automaticamente ridimensionato, ma dovrà farlo più velocemente, e potresti vedere un aumento della latenza mentre lo fa durante i picchi di traffico).

Answer 2

ho risposto a una similar question once ma desidera sottolineare alcuni punti:

1. Usa VPC con una corretta configurazione dei gruppi di protezione (deve) e ACL di rete (opzionale).

2. Nota la distribuzione delle chiavi private. AWS ha reso semplice l'archiviazione sicura nel proprio sistema e non l'ha mai più utilizzata sui propri server. Probabilmente è meglio usare i certificati autofirmati sui server (riducendo la possibilità di perdere le chiavi private reali)

3. SSL è a buon mercato in questi giorni (calcolare saggio)

4. Tutto dipende da vostre esigenze di sicurezza , normative e quanta complessità generali siete disposti a prendere.

5. AWS fornisce some guaranties (see network section) contro spoofing/recupero di informazioni da parte di altri inquilini, ma l'ipotesi di sicurezza è che l'ambiente di cloud pubblico multi-tenant non è al 100% igienico e si dovrebbe crittografare.

6. istanza singola inquilino (come suggerito da @andreimarinescu) non aiuterà come il vettore di attacco discusso qui è la rete tra l'ELB (ENV comune) e l'istanza. (tuttavia, potrebbe essere di aiuto nei giorni zero di XEN)

7. Risposta lunga con breve sommario - crittografare.