AWS ALB SSL/TLS 卸载安全
AWS ALB SSL/TLS offloading security
AWS ALB 允许配置 SSL/TLS 证书来加密客户端和 LB 之间的流量。 LB 和目标之间的流量 可以 使用证书进行保护,但目标证书未经过验证...如此处所述:https://github.com/aws-quickstart/quickstart-compliance-hipaa/issues/9#issuecomment-693746199
问题:VPC 内的流量是否需要额外的措施来保护和防止未经授权的访问? AWS VPC 是否有额外的安全机制来防止窥探或未经授权访问 VPC 内流动的未加密流量?考虑到证书不会被验证,他们在上述场景中将证书应用于 LB 目标是否有任何实际好处?
您提供的 link 很好地解释了这一点。 VPC 内的流量发生在 AWS 内部网络 内,而不是通过 Internet。因此,其 AWS 有责任根据 AWS shared responsibility model.
确保其安全性
如果您认为 AWS 无法保障其网络和基础设施的安全,那么从 LB 到目标的流量是否加密并不重要。粗鲁的员工或随机窃贼也可能直接访问您的实例、EBS 卷、KMS 密钥或 S3 存储。 SSL 加密不会阻止这种情况。
因此,通常不会在 LB 和目标之间应用 SSL,除非由于某些您无法控制的外部要求。还要考虑到 AWS 已有十多年的历史,到目前为止,还没有关于共享安全模型的 AWS 部分的任何公开的安全漏洞。
AWS ALB 允许配置 SSL/TLS 证书来加密客户端和 LB 之间的流量。 LB 和目标之间的流量 可以 使用证书进行保护,但目标证书未经过验证...如此处所述:https://github.com/aws-quickstart/quickstart-compliance-hipaa/issues/9#issuecomment-693746199
问题:VPC 内的流量是否需要额外的措施来保护和防止未经授权的访问? AWS VPC 是否有额外的安全机制来防止窥探或未经授权访问 VPC 内流动的未加密流量?考虑到证书不会被验证,他们在上述场景中将证书应用于 LB 目标是否有任何实际好处?
您提供的 link 很好地解释了这一点。 VPC 内的流量发生在 AWS 内部网络 内,而不是通过 Internet。因此,其 AWS 有责任根据 AWS shared responsibility model.
确保其安全性如果您认为 AWS 无法保障其网络和基础设施的安全,那么从 LB 到目标的流量是否加密并不重要。粗鲁的员工或随机窃贼也可能直接访问您的实例、EBS 卷、KMS 密钥或 S3 存储。 SSL 加密不会阻止这种情况。
因此,通常不会在 LB 和目标之间应用 SSL,除非由于某些您无法控制的外部要求。还要考虑到 AWS 已有十多年的历史,到目前为止,还没有关于共享安全模型的 AWS 部分的任何公开的安全漏洞。