Налаштування ELB за допомогою SSL - що таке автентифікація бекенда?

12

Я почав налаштовувати службу збалансування еластичного навантаження Amazon для мого пулу серверів, і мені потрібно налаштувати HTTPS / SSL. У мене все налаштування SSL-сертифікатів, але потім я переходжу до кроку для аутентифікації бекенда, і я не впевнений, який сертифікат потрібен для "Автентифікації бекенда".

Це мої сайти приватний ключ, відкритий ключ або мені потрібно генерувати новий ключ на сервері?

Дякую за допомогу.

— whobutsb
джерело

"тоді я переходжу до кроку автентифікації бекенда, і я не впевнений, який сертифікат потрібен для" автентифікації Backend ". Це мої сайти приватний ключ, відкритий ключ чи мені потрібно генерувати новий ключ на сервері?" <---- Хтось має відповідь на цю частину питання? Це ще один сертифікат SSL або файл .pem, який вони надають, створюючи групу безпеки?

— Мисливець Лічман

13

Попередня відповідь не на 100% точна.

АКТУАЛЬНІ ЗАБЕЗПЕЧЕННІ аутентифікації - це забезпечити, щоб відкритий ключ звітів вашого сервера (коли ELB спілкується з вашим сервером через HTTPS / SSL) відповідав відкритому вами відкритому ключу. Це не дозволить комусь приєднати шкідливий сервер до вашого ELB, або пом'якшить кого-небудь, що перешкоджає трафіку між ELB та вашими серверами.

Бек-аутентифікація НЕ враховує, чи клієнт (наприклад, браузер) спілкується з вашим ELB через HTTPS / SSL. Ви можете мати ELB спілкуватися з клієнтом через HTTP, а при цьому спілкуватися зі своїми серверними серверами через HTTPS / SSL за допомогою резервного зв'язку. Це забезпечить безпеку зв'язку між ELB та вашим сервером, НЕ якщо безпечне з'єднання клієнтів.

Підводячи підсумок

Поки ваш ELB повідомляє ваш екземпляр із заднім числом через HTTPS, той трафік шифрується, хоча він може бути викрадений. Заднє аутентифікація допомагає запобігти захопленню трафіку.

Чому б ви не використовували бек-енд аутентифікацію?

Продуктивність. Якщо ввімкнено зворотну аутентифікацію, ми спостерігали приблизно 50-70 мс збільшення часу відгуку під час спілкування через ELB (з усіма іншими HTTPS включено).

— Вільям Кінг
джерело

1

Привіт Вільям, дякую за пояснення. Але який вирок, роби це чи ні? Які шанси на те, що спілкування між ліктями та інстанціями стає порушеним? Або навіть зловмисний сервер приєднується до ліктя?

— xor

Щоб мати змогу приєднати шкідливий сервер до ELB, вам знадобляться деякі облікові дані AWS з правами реєстрації ELB. Я б сказав, що ці дані зберігаються на серверах розгортання або у вас самих. Якщо ці облікові дані просочені, також існує велика ймовірність того, що зловмисник зможе зв’язатися з вашим бекендом (так як ваші машини розгортання потребують оновлення версій додатків, вони, швидше за все, мають певний доступ до SSH), тому наявність шифрування https бекенда, ймовірно, не зробить відмінність, оскільки зловмисник міг би безпосередньо підключитися до перешкод.

— Кирило Дюшон-Доріс

Якщо припустимо, я використовую політику безпеки за замовчуванням AWS - ELBSecurityPolicy-2016-18. Отже, який відкритий ключ або приватний ключ буде використовуватися під час аутентифікації бек-енду.

— Шанкар

4

Задня аутентифікація забезпечує весь трафік до / з екземплярів, балансир навантаження та клієнт будуть зашифровані.

У мене виникли проблеми з цим налаштуванням, однак після деякого копання я знайшов відповідний розділ у Посібнику для розробників Elastic Load балансуючий , див. Створення балансира завантаження за допомогою налаштувань шифру SSL та автентифікації заднього сервера - зокрема, ви можете прочитайте, як цього досягти за допомогою [Консолі управління AWS] , яка надає корисну інструкцію та ілюстрації до різних тем, що займаються.

— af-at-work
джерело

Дякую за відповідь, вибачте, що не повернувся до вас раніше. Читаючи це зараз!

— whobutsb