ELB'yi SSL ile Kurma - Arka Uç Kimlik Doğrulaması nedir?

12

Sunucu havuzum için Amazon'un Elastik Yük Dengeleme Hizmetini kurmaya başladım ve HTTPS / SSL ayarlamam gerekiyor. Tüm SSL Sertifikalarım ayarlarım var, ancak sonra arka uç kimlik doğrulaması adımına geliyorum ve "Arka Uç Kimlik Doğrulaması" ile hangi sertifikanın gerekli olduğundan emin değilim.

Sitelerim özel anahtar mı, genel anahtar mı yoksa sunucuda yeni bir anahtar mı oluşturmam gerekiyor?

Yardımın için teşekkürler.

amazon-ec2  ssl  amazon-web-services  amazon-elb 
whobutsb
kaynak
"sonra arka uç kimlik doğrulaması adımına geliyorum ve" Arka Uç Kimlik Doğrulaması "ile hangi sertifikanın gerekli olduğundan emin değilim. Sitelerim özel anahtar mı, ortak anahtar mı yoksa sunucuda yeni bir anahtar mı oluşturmam gerekiyor?" <---- Sorunun bu kısmına cevap veren var mı? Bu, bir güvenlik grubu oluştururken size verdikleri başka bir SSL sertifikası mı yoksa anahtar çifti .pem dosyası mı?
Hunter Leachman

Yanıtlar:

13

Önceki cevap% 100 doğru değil.

GERÇEKTEN arka uç kimlik doğrulaması, arka uç sunucunuzun raporladığı ortak anahtarın (ELB, HTTPS / SSL üzerinden sunucunuzla konuşurken) sağladığınız bir ortak anahtarla eşleştiğinden emin olmaktır. Bu, birisinin ELB'nize kötü amaçlı bir sunucu eklemesini önler veya birisinin ELB ile sunucularınız arasındaki trafiği kaçırmasını azaltır.

Arka uç kimlik doğrulaması, istemcinin (örneğin bir tarayıcı) ELB'nizle HTTPS / SSL üzerinden iletişim kurup kurmadığını dikkate almaz. Bir ELB'nin bir istemciyle HTTP üzerinden iletişim kurmasını sağlarken, arka uç sunucularınızla arka uç iletişimiyle HTTPS / SSL üzerinden iletişim kurabilirsiniz. Bu, yalnızca ELB ile sunucunuz arasındaki iletişimin güvenli olmasını sağlar, istemci bağlantısı güvenli değilse DEĞİL.

Özetle

ELB'niz arka uç örneğinizle HTTPS üzerinden iletişim kurduğu sürece, bu trafik şifrelenmiş olsa da şifrelenir. Arka uç kimlik doğrulaması, trafiğin kaçırılmasını önlemeye yardımcı olur.

Neden arka uç kimlik doğrulamasını kullanmıyorsunuz?

Verim. Arka uç kimlik doğrulaması etkinleştirildiğinde, ELB üzerinden iletişim kurarken (diğer tüm HTTPS etkinken) yanıt süresinde yaklaşık 50-70 ms'lik bir artış gördük.

William King
kaynak
1
Merhaba William, açıklama için teşekkürler. Ama karar nedir, değil mi? Dir ve örnekler arasındaki iletişimin tehlikeye girme şansı nedir? Ya da kötü niyetli bir sunucu bile dirseğe bağlı?
xor
Bir ELB'ye kötü amaçlı bir sunucu ekleyebilmek için, ELB kayıt ayrıcalıklarına sahip bazı AWS kimlik bilgileri gerekir. Bu kimlik bilgilerinin dağıtım sunucularınız veya kendiniz tuttuğunu söyleyebilirim. Bu kimlik bilgileri sızdırılırsa, saldırganın yine de arka ucunuza bağlanma olasılığı yüksektir (dağıtım makinelerinizin uygulama sürümlerini güncellemesi gerektiğinden, büyük olasılıkla bir çeşit SSH erişimine sahiptir), bu nedenle https arka uç şifrelemesine sahip olmak muhtemelen çünkü saldırgan arka uçlara doğrudan bağlanabilir.
Cyril Duchon-Doris
Varsayalım ki AWS varsayılan güvenlik ilkesini kullanıyorum - ELBSecurityPolicy-2016-18. Yani arka uç kimlik doğrulamasında hangi ortak anahtar veya özel anahtar kullanılacak.
Shankar
4

Arka uç kimlik doğrulaması, örneklere, yük dengeleyiciye ve istemciye gelen tüm trafiğin şifrelenmesini sağlar.

Bu kurulumda kendimle ilgili bir sorun yaşıyordum, ancak bazı kazma işlemlerinden sonra Elastik Yük Dengeleme Geliştirici Kılavuzu'ndaki ilgili bölümü buldum , bkz . SSL Şifresi Ayarları ve Arka Uç Sunucu Kimlik Doğrulaması ile Yük Dengeleyici Oluşturma - özellikle, ilgili çeşitli konular için faydalı bir izlenim ve çizimler sağlayan AWS Yönetim Konsolu'nu kullanarak bunu nasıl başaracağınızı okuyun .

af-at-iş
kaynak
Cevabınız için teşekkür ederim, daha önce size geri dönmediğim için üzgünüm. Şimdi okumaya devam edin!
whobutsb
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.