AWS负载均衡器ELB上的ssl终止是否安全?

时间:2014-09-26 06:20:50

标签: amazon-web-services amazon-ec2 load-balancing amazon-elb

我们在ec2实例上运行了一个Web应用程序。 我们已添加AWS ELB以将所有请求路由到应用程序到负载均衡器。 SSL证书已应用于ELB。

我担心ELB和ec2实例之间的HTTP通信是否安全? 要么 我应该在ELB和ec2实例之间使用HTTPS通信吗?

AWS是否保证ELB和ec2实例之间HTTP通信的安全性?

2 个答案:

答案 0 :(得分:4)

我回答了similar question once,但我想强调一些观点:

  1. 将VPC与正确的安全组设置(必须)和网络ACL(可选)一起使用。

  2. 请注意您的私钥分发。 AWS可以轻松地将其安全地存储在系统中,而不会再次在服务器上使用它。在您的服务器上使用自签名证书可能更好(减少泄露真实私钥的机会)

  3. 这些天SSL很便宜(计算明智)

  4. 这一切都取决于您的安全要求,法规以及您愿意承担多少复杂开销。

  5. AWS确实提供some guaranties (see network section)来防止其他租户欺骗/检索信息,但安全的假设是多租户公共云环境不是100%卫生,您应该加密。

  6. 单租户实例(由@andreimarinescu建议)将无济于事,因为此处讨论的攻击媒介是ELB(共享环境)与您的实例之间的网络。 (但是,它可能有助于对抗XEN零天)

  7. 简短摘要的长答案 - 加密。

答案 1 :(得分:1)

在我看来,对安全性和云部署的绝对控制有两点不能很好地混合。

关于ELB和EC2实例之间的流量安全性,您可能应该在VPC中部署资源,以便添加新的隔离层。 AWS不提供任何安全保证。

如果传输的数据过于敏感,您可能还需要考虑在专用数据中心进行部署,以便更好地控制网络方面。此外,您可能希望查看EC2上的单租户实例,因为您可能正在与其他EC2客户共享您的物理资源。

话虽如此,您还应该考虑一个方面:SSL终止是一项非常昂贵的工作,因此在ELB级别终止SSL将允许您的后端实例将资源集中在实际完成请求上,但这将是也影响ELB(它会自动扩展,但它必须更快地完成,并且你可能会看到在流量高峰期间这样做会增加延迟)。