Impostazione di ELB con SSL: che cos'è l'autenticazione back-end?


12

Ho iniziato a configurare il servizio di bilanciamento del carico elastico di Amazon per il mio pool di server e ho bisogno di installare HTTPS / SSL. Ho impostato tutti i miei certificati SSL, ma poi passo al passo per l'autenticazione back-end e non sono sicuro di quale certificato sia richiesto con "Autenticazione back-end".

È la chiave privata, la chiave pubblica del mio sito o devo generare una nuova chiave sul server?

Grazie per l'assistenza


"Poi passo al passo per l'autenticazione back-end e non sono sicuro di quale certificato sia richiesto con" Autenticazione back-end ". È la chiave privata, la chiave pubblica del mio sito o devo generare una nuova chiave sul server?" <---- Qualcuno ha una risposta a questa parte della domanda? È questo un altro certificato SSL o il file .pem keypair che ti danno quando si crea un gruppo di sicurezza?
Hunter Leachman,

Risposte:


13

La risposta precedente non è precisa al 100%.

L'autenticazione back-end ATTUALMENTE fa in modo che la chiave pubblica segnalata dal server back-end (quando ELB sta parlando al server su HTTPS / SSL) corrisponda a una chiave pubblica fornita. Ciò impedirebbe a qualcuno di collegare un server dannoso al tuo ELB o di mitigare qualcuno che dirotta il traffico tra ELB e i tuoi server.

L'autenticazione back-end NON tiene conto del fatto che il client (ad esempio un browser) stia comunicando al proprio ELB su HTTPS / SSL. È possibile fare in modo che un ELB comunichi con un client su HTTP, mentre comunica con i server back-end su HTTPS / SSL con la comunicazione back-end. Ciò garantirebbe che la comunicazione tra ELB e il server sia sicura, NON se la connessione client è sicura.

In sintesi

Finché ELB comunica all'istanza di back-end su HTTPS, tale traffico viene crittografato, sebbene possa essere dirottato. L'autenticazione back-end aiuta a impedire che il traffico venga dirottato.

Perché non dovresti utilizzare l'autenticazione back-end?

Prestazione. Con l'autenticazione back-end abilitata, abbiamo visto un aumento di circa 50-70 ms nei tempi di risposta durante la comunicazione tramite ELB (con tutti gli altri HTTPS abilitati).


1
Ciao William, grazie per la spiegazione. Ma qual è il verdetto, fallo o no? Quali sono le possibilità che la comunicazione tra elb e istanze venga compromessa? O anche un server dannoso viene collegato al elb?
XOR

Per poter collegare un server dannoso a un ELB, è necessario disporre di alcune credenziali AWS con privilegi di registrazione ELB. Direi che tali credenziali sono detenute dai server di distribuzione o da te stesso. Se queste credenziali perdono, c'è anche un'alta probabilità che l'aggressore possa connettersi comunque al tuo back-end (poiché i tuoi computer di distribuzione devono aggiornare le versioni delle app hanno molto probabilmente un tipo di accesso SSH), quindi avere la crittografia del back-end https probabilmente non farà un differenza poiché l'attaccante potrebbe connettersi direttamente ai backend.
Cyril Duchon-Doris,

Se supponiamo che sto usando la politica di sicurezza predefinita di AWS - ELBSecurityPolicy-2016-18. Quindi quale chiave pubblica o chiave privata verrà utilizzata per l'autenticazione back-end.
Shankar,

4

L'autenticazione back-end assicura tutto il traffico da / verso le istanze, il bilanciamento del carico e il client saranno crittografati.

Ho avuto dei problemi con questa configurazione da solo, tuttavia dopo alcuni scavi ho trovato la rispettiva sezione nella Guida per gli sviluppatori del bilanciamento del carico elastico , vedere Creazione di un bilanciamento del carico con impostazioni di crittografia SSL e autenticazione del server back-end - in particolare, potresti voler leggi come raggiungere questo obiettivo utilizzando [la] Console di gestione AWS , che fornisce una guida dettagliata e illustrazioni per i vari argomenti coinvolti.


Grazie per la risposta, mi dispiace non averti contattato prima. Leggendo questo ora!
whobutsb
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.