การตั้งค่า ELB ด้วย SSL - การรับรองแบ็คเอนด์คืออะไร?


12

ฉันเริ่มการตั้งค่าบริการโหลดยืดหยุ่นของ Amazon สำหรับกลุ่มเซิร์ฟเวอร์ของฉันและฉันต้องตั้งค่า HTTPS / SSL ฉันมีการตั้งค่าใบรับรอง SSL ของฉันทั้งหมด แต่จากนั้นฉันมาที่ขั้นตอนสำหรับการรับรองความถูกต้องของแบ็กเอนด์และฉันไม่แน่ใจว่าจำเป็นต้องใช้ใบรับรองใดใน "การรับรองความถูกต้องของแบ็กเอนด์"

มันเป็นรหัสส่วนตัวของเว็บไซต์ของฉันกุญแจสาธารณะหรือฉันจำเป็นต้องสร้างรหัสใหม่บนเซิร์ฟเวอร์หรือไม่?

ขอบคุณสำหรับความช่วยเหลือ


"จากนั้นฉันมาถึงขั้นตอนสำหรับการรับรองความถูกต้องของแบ็กเอนด์และฉันไม่แน่ใจว่าต้องใช้ใบรับรองอะไรกับ" การรับรองความถูกต้องของแบ็คเอนด์ "ไซต์ของฉันเป็นคีย์ส่วนตัว, กุญแจสาธารณะหรือฉันต้องสร้างคีย์ใหม่บนเซิร์ฟเวอร์หรือไม่" <---- ใครมีคำตอบในส่วนนี้ของคำถาม? นี่เป็นใบรับรอง SSL อีกไฟล์หรือไฟล์ keypair .pem ที่ให้คุณเมื่อสร้างกลุ่มความปลอดภัยหรือไม่
Hunter Leachman

คำตอบ:


13

คำตอบก่อนหน้านี้ไม่ถูกต้อง 100%

สิ่งที่รับรองความถูกต้องแบ็คเอนด์จริงทำคือให้แน่ใจว่ากุญแจสาธารณะรายงานเซิร์ฟเวอร์ backend ของคุณ (เมื่อ ELB กำลังพูดคุยกับเซิร์ฟเวอร์ของคุณผ่าน HTTPS / SSL) ตรงกับกุญแจสาธารณะที่คุณให้ วิธีนี้จะป้องกันไม่ให้ใครบางคนแนบเซิร์ฟเวอร์ที่เป็นอันตรายเข้ากับ ELB ของคุณหรือช่วยให้ใครบางคนจี้การรับส่งข้อมูลระหว่าง ELB และเซิร์ฟเวอร์ของคุณ

การรับรองความถูกต้องแบ็คเอนด์ไม่ได้คำนึงถึงว่าไคลเอ็นต์ (เบราว์เซอร์ตัวอย่าง) กำลังสื่อสารกับ ELB ของคุณผ่าน HTTPS / SSL หรือไม่ คุณสามารถให้ ELB สื่อสารกับลูกค้าผ่าน HTTP ในขณะที่สื่อสารกับเซิร์ฟเวอร์เบื้องหลังของคุณผ่าน HTTPS / SSL ด้วยการสื่อสารส่วนหลัง สิ่งนี้จะช่วยให้มั่นใจว่าการสื่อสารระหว่าง ELB และเซิร์ฟเวอร์ของคุณจะปลอดภัยไม่ใช่ถ้าการเชื่อมต่อลูกค้านั้นปลอดภัย

สรุป

ตราบใดที่ ELB ของคุณกำลังสื่อสารกับอินสแตนซ์แบ็คเอนด์ของคุณผ่าน HTTPS การรับส่งข้อมูลนั้นจะถูกเข้ารหัสแม้ว่ามันจะถูกขโมย การรับรองความถูกต้องแบ็คเอนด์ช่วยป้องกันไม่ให้ทราฟฟิกนั้นถูกไฮแจ็ก

ทำไมคุณไม่ใช้การรับรองความถูกต้องส่วนหลัง?

ประสิทธิภาพ. เมื่อเปิดใช้งานการตรวจสอบสิทธิ์แบ็คเอนด์เราจะเห็นเวลาตอบสนองเพิ่มขึ้นประมาณ 50-70ms เมื่อสื่อสารผ่าน ELB (เมื่อเปิดใช้ HTTPS อื่นทั้งหมด)


1
สวัสดีวิลเลียมขอบคุณสำหรับคำอธิบาย แต่คำตัดสินคืออะไรทำหรือไม่? โอกาสที่การสื่อสารระหว่าง elb และอินสแตนซ์จะถูกบุกรุกมีอะไรบ้าง หรือแม้กระทั่งเซิร์ฟเวอร์ที่เป็นอันตรายจะได้รับการแนบกับ elb
xor

เพื่อให้สามารถเชื่อมต่อเซิร์ฟเวอร์ที่เป็นอันตรายกับ ELB เราต้องมีข้อมูลรับรอง AWS บางอย่างที่มีสิทธิ์การลงทะเบียน ELB ฉันจะบอกว่าข้อมูลรับรองเหล่านั้นถูกจัดขึ้นโดยเซิร์ฟเวอร์การปรับใช้ของคุณ หากข้อมูลรับรองเหล่านั้นรั่วไหลออกไปก็มีโอกาสสูงที่ผู้โจมตีสามารถเชื่อมต่อกับแบ็กเอนด์ของคุณได้ (เนื่องจากเครื่องจักรที่ใช้งานของคุณจำเป็นต้องอัปเดตเวอร์ชันแอพที่น่าจะเข้าถึง SSH ได้) ดังนั้นการเข้ารหัสแบ็กเอนด์ https อาจจะไม่ ความแตกต่างเนื่องจากผู้โจมตีสามารถเชื่อมต่อกับแบ็กเอนด์ได้โดยตรง
Cyril Duchon-Doris

ถ้าสมมติว่าฉันใช้นโยบายความปลอดภัยเริ่มต้นของ AWS - ELBSecurityPolicy-2016-18 ดังนั้นพับลิกคีย์หรือไพรเวตคีย์ใดที่จะถูกใช้ในการจัดทำส่วนหลังอัตโนมัติ
Shankar

4

การรับรองความถูกต้องของแบ็คเอนด์ช่วยให้มั่นใจได้ว่าทราฟฟิกทั้งหมดไปยัง / จากอินสแตนซ์ตัวโหลดบาลานซ์และไคลเอ็นต์จะถูกเข้ารหัส

ฉันมีปัญหากับการตั้งค่านี้ด้วยตนเอง แต่หลังจากการขุดบางครั้งฉันพบส่วนที่เกี่ยวข้องในคู่มือนักพัฒนา Elastic Load Balancingดูที่การสร้าง Load Balancer ด้วยการตั้งค่าการเข้ารหัส SSL และการรับรองความถูกต้องเซิร์ฟเวอร์ Back-end - โดยเฉพาะคุณอาจต้องการ อ่านวิธีการทำให้สำเร็จด้วยการใช้ [คอนโซล] AWS Management Consoleซึ่งให้คำแนะนำและภาพประกอบที่เป็นประโยชน์สำหรับหัวข้อต่างๆที่เกี่ยวข้อง


ขอบคุณสำหรับการตอบกลับฉันขอโทษที่ฉันไม่ได้ติดต่อกลับมาเร็วกว่านี้ อ่านตอนนี้!
whobutsb
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.