AWS ALB允许配置SSL / TLS证书以加密客户端和LB之间的通信。可以使用证书来保护LB和目标 之间的流量,但是目标证书没有经过验证……如此处概述:https://github.com/aws-quickstart/quickstart-compliance-hipaa/issues/9#issuecomment-693746199
问题:VPC中的流量是否需要采取其他措施来保护和防止未经授权的访问? AWS VPC是否具有其他安全性机制来防止窥探或未经授权访问VPC中流动的未加密流量?考虑到该证书不会被验证,在上述情况下将证书应用于LB目标是否有任何实际好处?
答案 0 :(得分:1)
您提供的链接很好地说明了这一点。 VPC中的流量是在 AWS内部网络中而不是通过Internet独占的。因此,其AWS责任基于AWS shared responsibility model确保其安全性。
如果您认为AWS无法为其网络和基础架构提供安全性,那么从LB到目标的流量是否经过加密都没有太大关系。粗鲁的员工或随机的小偷也可以直接访问您的实例,EBS卷,KMS密钥或S3存储。 SSL加密不会阻止这种情况。
因此,通常不应用LB和目标之间的SSL,除非由于某些外部需求而无法控制。还应考虑到AWS已有十多年的历史了,到目前为止,还没有关于共享安全模型的AWS部分的任何公开的安全漏洞。