- 已关闭。**此问题为not about programming or software development。当前不接受答案。
此问题似乎与a specific programming problem, a software algorithm, or software tools primarily used by programmers无关。如果您认为此问题与another Stack Exchange site的主题有关,您可以留下评论,说明在何处可以回答此问题。
7小时前关闭。
Improve this question
背景
目前我已经配置了一个AWS EC2示例来使用NGINX反向代理服务Express应用程序。
现在,我的下一步应该是配置SSL。
问题
以下是我感到困惑的地方:
我看过一些教程,介绍如何使用一些第三方库创建SSL证书,并将其直接安装到NGINX正在运行的EC2示例上。
我还看过AWS上的官方教程,介绍如何在应用负载均衡器上配置SSL,以处理EC2示例上的流量。从它告诉我的信息来看,负载均衡器将流量转发到EC2示例。那么我的问题是,如果负载均衡器有SSL,但它背后的EC2示例没有,那么这怎么安全呢?
我对使用AWS EC2和负载平衡器还是有点陌生,所以我希望有人能帮助解释一下。
3条答案
按热度按时间wvt8vs2t1#
这是一个实现细节,取决于系统的安全需求。
通常,为了简单起见,大多数人在负载平衡器上处理SSL。
如果负载平衡器有SSL,但它后面的EC2示例没有,那么这怎么安全呢?
负载均衡器和EC2示例之间的连接不会使用SSL。然而,这是大多数人都会冒的风险,尤其是当您的资源位于VPC中时。您可以通过发送加密数据来进一步改进这一部分。
如果要传输的数据过于敏感,则可以在负载平衡器和EC2示例上都要求SSL。
总的来说,选择哪种方式取决于您的安全要求。
z5btuh9x2#
您的理解是正确的,如果您在ALB上安装了证书,TLS将在此时终止。从ALB到EC2示例的流量不会通过TLS连接发送。
然而,这并不一定意味着流量不安全。一旦互联网上的流量到达ALB,它就在AWS全球基础设施之内。这意味着根据分担责任模型,AWS is now responsible负责传输中数据的安全。
由于负载平衡器位于虚拟私有云(VPC)中,因此负载平衡器和目标之间的流量在数据包级别进行身份验证,因此即使目标上的证书无效,也不会面临中间人攻击或欺骗的风险。-目标组:路由配置
当然,您也可以在示例上安装证书,然后ALB将使用这些证书建立TLS连接。这通常是出于合规性原因,或者根据应用用例需要额外的安全性。
6ioyuze23#
为了进一步保护发往您的EC2的流量,您可以为EC2配置SG,使流量来自ALB的SG,而不是向全世界开放。