Configuración de ELB con SSL: ¿qué es la autenticación de backend?

12

Comencé a configurar el servicio Elastic Load Balancing de Amazon para mi grupo de servidores y necesito configurar HTTPS / SSL. Tengo todos mis certificados SSL configurados, pero luego paso al paso para la autenticación de back-end y no estoy seguro de qué certificado se requiere con la "Autenticación de back-end".

¿Es la clave privada de mi sitio, la clave pública, o necesito generar una nueva clave en el servidor?

Gracias por la ayuda

amazon-ec2 ssl amazon-web-services amazon-elb whobutsb
fuente
"Entonces llego al paso para la autenticación de back-end y no estoy seguro de qué certificado se requiere con la" Autenticación de back-end ". ¿Es la clave privada, la clave pública de mi sitio o necesito generar una nueva clave en el servidor?" <---- ¿Alguien tiene una respuesta a esta parte de la pregunta? ¿Es este otro certificado SSL o el archivo .pem de keypair que le dan al crear un grupo de seguridad?
Hunter Leachman

Respuestas:

13

La respuesta anterior no es 100% precisa.

Lo que realmente hace la autenticación de fondo es garantizar que la clave pública que informa su servidor de fondo (cuando ELB está hablando con su servidor a través de HTTPS / SSL) coincida con una clave pública que usted proporcione. Esto evitaría que alguien adjunte un servidor malicioso a su ELB, o mitigaría a alguien secuestrando el tráfico entre ELB y sus servidores.

La autenticación de fondo NO tiene en cuenta si el cliente (un navegador, por ejemplo) se está comunicando con su ELB a través de HTTPS / SSL. Puede hacer que un ELB se comunique con un cliente a través de HTTP, mientras se comunica con sus servidores de back-end a través de HTTPS / SSL con comunicación de back-end. Esto solo garantizaría que la comunicación entre ELB y su servidor sea segura, NO si la conexión del cliente es segura.

En resumen

Mientras su ELB se esté comunicando con su instancia de back-end a través de HTTPS, ese tráfico está encriptado, aunque puede ser secuestrado. La autenticación de fondo ayuda a evitar que el tráfico sea secuestrado.

¿Por qué no usarías la autenticación de fondo?

Actuación. Con la autenticación de fondo habilitada, hemos visto un aumento de alrededor de 50-70 ms en el tiempo de respuesta cuando se comunica a través de ELB (con todos los demás HTTPS habilitados).

William King
fuente
1
Hola William, gracias por la explicación. Pero, ¿cuál es el veredicto, hacerlo o no? ¿Cuáles son las posibilidades de que la comunicación entre elb y las instancias se vea comprometida? ¿O incluso un servidor malicioso se conecta al elb?
xor
Para poder adjuntar un servidor malicioso a un ELB, uno necesitaría algunas credenciales de AWS con privilegios de registro de ELB. Yo diría que esas credenciales las tienen sus servidores de implementación o usted mismo. Si esas credenciales se filtran, también hay una alta posibilidad de que el atacante pueda conectarse a su backend de todos modos (dado que sus máquinas de implementación necesitan actualizar las versiones de la aplicación, es probable que tengan algún tipo de acceso SSH), por lo que tener un cifrado de backend https probablemente no sea un diferencia ya que el atacante podría conectarse directamente a los backends.
Cyril Duchon-Doris
Si se supone que estoy usando la política de seguridad predeterminada de AWS: ELBSecurityPolicy-2016-18. Entonces, qué clave pública o clave privada se utilizará en la autenticación de back-end.
Shankar
4

La autenticación de fondo garantiza que todo el tráfico hacia / desde las instancias, el equilibrador de carga y el cliente se cifrarán.

Tuve algunos problemas con esta configuración yo mismo, sin embargo, después de investigar un poco, encontré la sección correspondiente dentro de la Guía del desarrollador de Elastic Load Balancing , consulte Creación de un equilibrador de carga con configuración de cifrado SSL y autenticación de servidor de fondo ; en particular, es posible que desee lea cómo lograr esto mediante el uso de [la] consola de administración de AWS , que proporciona un tutorial útil e ilustraciones para los diversos temas involucrados.

af-at-work
fuente
Gracias por la respuesta, lamento no haberte contactado antes. Leyendo sobre esto ahora!
whobutsb