Konfigurowanie ELB z SSL - Co to jest uwierzytelnianie zaplecza?

12

Zacząłem konfigurować usługę elastycznego równoważenia obciążenia Amazon dla mojej puli serwerów i muszę skonfigurować HTTPS / SSL. Mam skonfigurowane wszystkie certyfikaty SSL, ale potem przechodzę do etapu uwierzytelniania zaplecza i nie jestem pewien, jaki certyfikat jest wymagany w przypadku „Uwierzytelnienia zaplecza”.

Czy to mój prywatny klucz, klucz publiczny czy muszę wygenerować nowy klucz na serwerze?

Dziękuję za pomoc.

amazon-ec2 ssl amazon-web-services amazon-elb whobutsb
źródło
„następnie przechodzę do etapu uwierzytelniania zaplecza i nie jestem pewien, jaki certyfikat jest wymagany w przypadku„ Uwierzytelnienia zaplecza ”. Czy to klucz prywatny mojej witryny, klucz publiczny, czy też muszę wygenerować nowy klucz na serwerze?” <---- Czy ktoś ma odpowiedź na tę część pytania? Czy to kolejny certyfikat SSL lub plik .pem kluczy, który podają podczas tworzenia grupy zabezpieczeń?
Hunter Leachman

Odpowiedzi:

13

Poprzednia odpowiedź nie jest w 100% dokładna.

URUCHOMIENIE uwierzytelnienia zaplecza polega na upewnieniu się, że klucz publiczny zgłoszony przez serwer zaplecza (gdy ELB rozmawia z serwerem przez HTTPS / SSL) jest zgodny z podanym kluczem publicznym. Pozwoliłoby to zapobiec podłączeniu złośliwego serwera do Twojego ELB lub złagodzić kontrolę nad ruchem między ELB a Twoimi serwerami.

Uwierzytelnianie zaplecza NIE bierze pod uwagę, czy klient (na przykład przeglądarka) komunikuje się z ELB przez HTTPS / SSL. Możesz mieć ELB komunikujący się z klientem przez HTTP, podczas gdy komunikujesz się z serwerami zaplecza przez HTTPS / SSL z komunikacją zaplecza. Zapewni to bezpieczną komunikację między ELB a serwerem, NIE, jeśli połączenie klienta będzie bezpieczne.

W podsumowaniu

Tak długo, jak ELB komunikuje się z instancją zaplecza za pośrednictwem HTTPS, ruch ten jest szyfrowany, chociaż może zostać przejęty. Uwierzytelnianie zaplecza pomaga zapobiec przejęciu ruchu.

Dlaczego nie miałbyś korzystać z uwierzytelniania zaplecza?

Występ. Przy włączonym uwierzytelnianiu back-end widzieliśmy około 50-70 ms dłuższy czas odpowiedzi podczas komunikacji przez ELB (przy włączonym wszystkich pozostałych HTTPS).

William King
źródło
1
Cześć William, dziękuję za wyjaśnienie. Ale jaki jest werdykt, zrób to czy nie? Jakie są szanse na utratę komunikacji między łokciem a instancjami? Czy nawet złośliwy serwer zostaje przywiązany do łokcia?
xor
Aby móc podłączyć złośliwy serwer do ELB, potrzebne byłyby poświadczenia AWS z uprawnieniami do rejestracji ELB. Powiedziałbym, że te poświadczenia są przechowywane przez twoje serwery wdrażania lub przez ciebie. W przypadku wycieku tych poświadczeń istnieje duża szansa, że ​​osoba atakująca i tak może połączyć się z zapleczem (ponieważ maszyny wdrażające muszą zaktualizować wersje aplikacji, najprawdopodobniej mają jakiś dostęp SSH), więc szyfrowanie zaplecza https prawdopodobnie nie spowoduje różnica, ponieważ atakujący może bezpośrednio połączyć się z backendami.
Cyril Duchon-Doris
Jeśli przypuszczam, że korzystam z domyślnej polityki bezpieczeństwa AWS - ELBSecurityPolicy-2016-18. Tak więc, który klucz publiczny lub prywatny będzie używany podczas uwierzytelniania zaplecza.
Shankar
4

Uwierzytelnianie zaplecza zapewnia cały ruch do / z instancji, modułu równoważenia obciążenia i klienta będzie szyfrowany.

Sam miałem problemy z tą konfiguracją, jednak po kopaniu znalazłem odpowiednią sekcję w Przewodniku programisty elastycznego równoważenia obciążenia , patrz Tworzenie modułu równoważenia obciążenia za pomocą ustawień szyfrowania SSL i uwierzytelniania serwera zaplecza - w szczególności możesz chcieć przeczytaj, jak to osiągnąć, korzystając z [AWS] Console Management Console , która zawiera pomocny przewodnik i ilustracje na różne tematy.

af-at-work
źródło
Dziękuję za odpowiedź, przepraszam, że nie wróciłem do ciebie wcześniej. Czytam to teraz!
whobutsb