Configurando o ELB com SSL - O que é autenticação de back-end?

12

Comecei a configurar o Elastic Load Balancing Service da Amazon para meu pool de servidores e preciso configurar o HTTPS / SSL. Eu tenho todas as minhas configurações de certificados SSL, mas passo à etapa de autenticação de back-end e não tenho certeza de qual certificado é necessário com a "Autenticação de back-end".

É a chave privada, a chave pública dos meus sites ou preciso gerar uma nova chave no servidor?

Obrigado pela ajuda.

— whobutsb
fonte

"então passo para a autenticação de back-end e não tenho certeza de qual certificado é necessário com a" Autenticação de back-end ". É a chave privada, a chave pública dos meus sites ou preciso gerar uma nova chave no servidor?" <---- Alguém tem uma resposta para esta parte da pergunta? Esse é outro certificado SSL ou o arquivo .pem do par de chaves que eles fornecem ao criar um grupo de segurança?

— precisa

13

A resposta anterior não é 100% precisa.

O que a autenticação de back-end realmente faz é garantir que a chave pública que seu servidor de back-end reporte (quando o ELB estiver conversando com seu servidor por HTTPS / SSL) corresponda à chave pública que você fornecer. Isso impediria que alguém anexasse um servidor mal-intencionado ao seu ELB ou atenuaria alguém que estivesse sequestrando o tráfego entre o ELB e seus servidores.

A autenticação de back-end NÃO leva em consideração se o cliente (um navegador, por exemplo) está se comunicando com seu ELB por HTTPS / SSL. Você pode fazer com que um ELB se comunique com um cliente por HTTP, enquanto se comunica com seus servidores back-end por HTTPS / SSL com comunicação back-end. Isso garantiria apenas que a comunicação entre o ELB e o servidor fosse segura, NÃO se a conexão do cliente fosse segura.

Em suma

Enquanto seu ELB estiver se comunicando com sua instância de back-end por HTTPS, esse tráfego será criptografado, embora possa ser invadido. A autenticação de back-end ajuda a impedir que esse tráfego seja invadido.

Por que você não usaria autenticação de back-end?

Atuação. Com a autenticação de back-end ativada, observamos um aumento de 50 a 70ms no tempo de resposta ao se comunicar através do ELB (com todos os outros HTTPS ativados).

— William King
fonte

1

Olá William, obrigado pela explicação. Mas qual é o veredicto, faça ou não? Quais são as chances de comprometer a comunicação entre elb e instâncias? Ou mesmo um servidor malicioso é anexado ao elb?

— xor 29/01

Para poder conectar um servidor mal-intencionado a um ELB, seria necessário algumas credenciais da AWS com privilégios de registro no ELB. Eu diria que essas credenciais são mantidas por seus servidores de implantação ou por você. Se essas credenciais vazarem, também há uma grande chance de o invasor se conectar ao seu back-end de qualquer maneira (já que suas máquinas de implantação precisam atualizar as versões do aplicativo, provavelmente têm algum tipo de acesso SSH), portanto, a criptografia de back-end https provavelmente não fará diferença, já que o invasor pode se conectar diretamente aos back-ends.

— Cyril Duchon-Doris

Se suponha que estou usando a política de segurança padrão da AWS - ELBSecurityPolicy-2016-18. Portanto, qual chave pública ou chave privada será usada na autenticação de back-end.

— Shankar

4

A autenticação de back-end garante que todo o tráfego de / para as instâncias, o balanceador de carga e o cliente seja criptografado.

Eu estava tendo alguns problemas com essa configuração, no entanto, depois de algumas escavações, encontrei a seção respectiva no Guia do desenvolvedor do Elastic Load Balancing , consulte Criando um balanceador de carga com configurações de cifra SSL e autenticação de servidor back-end - em particular, convém leia como fazer isso usando o [A] Console de gerenciamento da AWS , que fornece uma explicação e ilustrações úteis para os vários tópicos envolvidos.

— af-no-trabalho
fonte

Obrigado pela resposta, desculpe-me por não ter respondido antes. Lendo sobre isso agora!

— whobutsb