Configuration d'ELB avec SSL - Qu'est-ce que l'authentification principale?

12

J'ai commencé à configurer le service Elastic Load Balancing d'Amazon pour mon pool de serveurs et je dois configurer HTTPS / SSL. J'ai toute la configuration de mes certificats SSL, mais j'arrive à l'étape de l'authentification dorsale et je ne sais pas quel certificat est requis avec la "Authentification dorsale".

S'agit-il de la clé privée, de la clé publique de mon site ou dois-je générer une nouvelle clé sur le serveur?

Merci pour votre aide.

amazon-ec2 ssl amazon-web-services amazon-elb whobutsb
la source
"puis j'arrive à l'étape de l'authentification dorsale et je ne sais pas quel certificat est requis avec l '" authentification dorsale ". S'agit-il de la clé privée de mon site, de la clé publique ou dois-je générer une nouvelle clé sur le serveur?" <---- Quelqu'un a une réponse à cette partie de la question? S'agit-il d'un autre certificat SSL ou du fichier .pem de paires de clés qu'ils vous fournissent lors de la création d'un groupe de sécurité?
Hunter Leachman

Réponses:

13

La réponse précédente n'est pas exacte à 100%.

En réalité, l'authentification principale garantit que la clé publique que votre serveur principal signale (lorsque ELB parle à votre serveur via HTTPS / SSL) correspond à la clé publique que vous fournissez. Cela empêcherait quelqu'un d'attacher un serveur malveillant à votre ELB, ou atténuerait le détournement de trafic entre ELB et vos serveurs.

L'authentification principale ne tient PAS compte du fait que le client (un navigateur par exemple) communique avec votre ELB via HTTPS / SSL. Vous pouvez faire communiquer un ELB à un client via HTTP, tout en communiquant avec vos serveurs backend via HTTPS / SSL avec une communication backend. Cela garantirait uniquement que la communication entre ELB et votre serveur est sécurisée, PAS si la connexion des clients est sécurisée.

En résumé

Tant que votre ELB communique avec votre instance d'arrière-plan via HTTPS, ce trafic est chiffré, bien qu'il puisse être détourné. L'authentification principale permet d'éviter que le trafic ne soit détourné.

Pourquoi n'utiliseriez-vous pas l'authentification principale?

Performance. Avec l'authentification principale activée, nous avons constaté une augmentation du temps de réponse d'environ 50 à 70 ms lors de la communication via ELB (avec tous les autres HTTPS activés).

William King
la source
1
Salut William, merci pour l'explication. Mais quel est le verdict, faites-le ou non? Quelles sont les chances que la communication entre elb et les instances soit compromise? Ou même un serveur malveillant est attaché à l'elbe?
XOR
Pour pouvoir attacher un serveur malveillant à un ELB, il faudrait disposer de certaines informations d'identification AWS avec des privilèges d'enregistrement ELB. Je dirais que ces informations d'identification sont détenues par vos serveurs de déploiement ou par vous-même. Si ces informations d'identification sont divulguées, il y a également de fortes chances que l'attaquant puisse se connecter à votre backend de toute façon (puisque vos machines de déploiement doivent mettre à jour les versions des applications, elles ont très probablement une sorte d'accès SSH), donc le cryptage du backend https ne fera probablement pas de différence puisque l'attaquant pourrait se connecter directement aux backends.
Cyril Duchon-Doris
Si je suppose que j'utilise la stratégie de sécurité par défaut AWS - ELBSecurityPolicy-2016-18. Alors quelle clé publique ou clé privée va être utilisée sur l'authentification finale.
Shankar
4

L'authentification principale garantit que tout le trafic vers / depuis les instances, l'équilibreur de charge et le client sera chiffré.

J'avais moi-même des problèmes avec cette configuration, mais après avoir creusé, j'ai trouvé la section correspondante dans le Guide du développeur d'Elastic Load Balancing , voir Création d'un équilibreur de charge avec les paramètres de chiffrement SSL et l'authentification du serveur principal - en particulier, vous voudrez peut-être lisez comment y parvenir en utilisant [la] AWS Management Console , qui fournit une procédure pas à pas et des illustrations utiles pour les divers sujets concernés.

af-au travail
la source
Merci pour la réponse, je suis désolé de ne pas vous avoir répondu plus tôt. Relisant ceci maintenant!
whobutsb