2014-09-26 100 views
7

我們有一個運行在ec2實例上的web應用程序。 我們添加了AWS ELB以將所有請求路由到應用程序到負載均衡器。 SSL證書已應用於ELB。ssl是否終止在AWS負載均衡器ELB安全?

我很擔心ELB和ec2實例之間的HTTP通信是否安全? 或 我應該使用ELB和ec2實例之間的HTTPS通信嗎?

AWS是否保證ELB和ec2實例之間的HTTP通信的安全性?

回答

1

對於安全和雲部署的絕對控制在我看來有兩件事情混合不好。

關於ELB和EC2實例之間的流量安全性,您應該在VPC中部署資源以添加一個新的隔離層。 AWS不提供任何安全保證。

如果傳輸的數據過於敏感,您可能還需要考慮在專用數據中心進行部署,以便您可以更好地控制網絡方面。此外,您可能希望查看EC2上的單租戶實例,因爲您可能與其他EC2客戶共享您的物理資源。這就是說,您還應該考慮一個方面:SSL終止是一項相當昂貴的工作,因此在ELB級別終止SSL將允許您的後端實例將資源集中在實際滿足請求上,但是這也會影響ELB(它會自動擴展,但它將不得不做得更快,並且您可能會在流量峯值期間看到延遲增加)。

+0

您應該在VPC中進行部署,並且任何最近的帳戶都會自動執行此操作。 – chris 2014-09-26 13:27:35

4

我回答一個similar question once而是想強調幾點:

  1. 使用VPC適當安全組設置(必須)和網絡訪問控制列表(可選)。

  2. 注意您的私鑰分配。 AWS可以輕鬆地將其安全地存儲在系統中,並且永遠不會在服務器上再次使用它。這可能是更好的服務器上使用自簽名證書(降低了機會,泄露你的真實私鑰)

  3. SSL便宜這些天(計算方式)

  4. 這一切都取決於您的安全要求,法規以及您願意承擔多少複雜的開銷。

  5. AWS確實提供了some guaranties (see network section)來抵禦其他租戶的欺騙/檢索信息,但是安全的假設是多租戶公有云環境不是100%衛生且您應該加密。

  6. 單租戶實例(由@andreimarinescu建議)將無濟於事,因爲這裏討論的攻擊向量是ELB(共享env)和您的實例之間的網絡。 (但是,它可能對XEN零天有幫助)

  7. 長回答簡短摘要 - 加密。

相關問題