Einrichten von ELB mit SSL - Was ist Backend-Authentifizierung?

12

Ich habe mit dem Einrichten des Elastic Load Balancing Service von Amazon für meinen Serverpool begonnen und muss HTTPS / SSL einrichten. Ich habe alle meine SSL-Zertifikate eingerichtet, komme dann aber zum Schritt für die Backend-Authentifizierung und bin mir nicht sicher, welches Zertifikat für die "Backend-Authentifizierung" erforderlich ist.

Handelt es sich um den privaten oder den öffentlichen Schlüssel meiner Site, oder muss ich auf dem Server einen neuen Schlüssel generieren?

Vielen Dank für die Hilfe.

amazon-ec2 ssl amazon-web-services amazon-elb whobutsb
quelle
"Dann komme ich zum Schritt für die Backend-Authentifizierung und bin mir nicht sicher, welches Zertifikat für die Backend-Authentifizierung erforderlich ist. Ist es der private Schlüssel meiner Site, der öffentliche Schlüssel oder muss ich einen neuen Schlüssel auf dem Server generieren?" <---- Hat jemand eine Antwort auf diesen Teil der Frage? Handelt es sich um ein anderes SSL-Zertifikat oder die PEM-Datei des Schlüsselpaars, die Sie beim Erstellen einer Sicherheitsgruppe erhalten?
Hunter Leachman

Antworten:

13

Die vorherige Antwort ist nicht 100% genau.

Durch die Back-End-Authentifizierung wird WIRKLICH sichergestellt, dass der von Ihrem Back-End-Server gemeldete öffentliche Schlüssel (wenn ELB über HTTPS / SSL mit Ihrem Server spricht) mit einem von Ihnen angegebenen öffentlichen Schlüssel übereinstimmt. Dies würde jemanden daran hindern, einen böswilligen Server an Ihre ELB anzuschließen, oder jemanden davon abhalten, den Datenverkehr zwischen ELB und Ihren Servern zu missbrauchen.

Bei der Back-End-Authentifizierung wird NICHT berücksichtigt, ob der Client (z. B. ein Browser) über HTTPS / SSL mit Ihrer ELB kommuniziert. Sie können eine ELB über HTTP mit einem Client kommunizieren lassen, während Sie über HTTPS / SSL mit Back-End-Kommunikation mit Ihren Back-End-Servern kommunizieren. Dies würde nur sicherstellen, dass die Kommunikation zwischen ELB und Ihrem Server sicher ist, NICHT, wenn die Client-Verbindung sicher ist.

in Summe

Solange Ihre ELB über HTTPS mit Ihrer Backend-Instanz kommuniziert, wird dieser Datenverkehr verschlüsselt, obwohl er möglicherweise entführt wird. Die Back-End-Authentifizierung verhindert, dass der Datenverkehr missbraucht wird.

Warum sollten Sie keine Back-End-Authentifizierung verwenden?

Performance. Bei aktivierter Back-End-Authentifizierung hat sich die Antwortzeit bei der Kommunikation über ELB um ca. 50-70 ms erhöht (bei allen anderen aktivierten HTTPS).

William King
quelle
1
Hallo William, danke für die Erklärung. Aber wie lautet das Urteil, oder nicht? Wie hoch ist die Wahrscheinlichkeit, dass die Kommunikation zwischen Elb und Instanzen beeinträchtigt wird? Oder wird sogar ein bösartiger Server an die Elbe angehängt?
xor
Um einen bösartigen Server an eine ELB anhängen zu können, benötigen Sie einige AWS-Anmeldeinformationen mit ELB-Registrierungsberechtigungen. Ich würde sagen, diese Anmeldeinformationen werden von Ihren Bereitstellungsservern oder von Ihnen selbst gespeichert. Wenn diese Anmeldeinformationen verloren gehen, besteht auch eine hohe Wahrscheinlichkeit, dass der Angreifer eine Verbindung zu Ihrem Backend herstellen kann (da Ihre Bereitstellungscomputer App-Versionen aktualisieren müssen, haben sie höchstwahrscheinlich einen SSH-Zugriff) Unterschied, da der Angreifer direkt mit dem Backend verbinden konnte.
Cyril Duchon-Doris
Angenommen, ich verwende die AWS-Standardsicherheitsrichtlinie ELBSecurityPolicy-2016-18. Welcher öffentliche oder private Schlüssel wird für die Back-End-Authentifizierung verwendet?
Shankar
4

Die Back-End-Authentifizierung stellt sicher, dass der gesamte Datenverkehr zu / von den Instanzen, dem Load Balancer und dem Client verschlüsselt wird.

Ich hatte einige Probleme mit diesem Setup selbst, aber nach einigem Graben ich den jeweiligen Abschnitt in der gefunden Elastic Load Balancing Developer Guide finden Sie Erstellen eines Load Balancer Mit SSL Cipher Einstellungen und Back-End - Server - Authentifizierung - insbesondere, können Sie wollen Lesen Sie, wie Sie dies mithilfe der AWS Management Console erreichen. Diese enthält eine hilfreiche exemplarische Vorgehensweise und Abbildungen zu den verschiedenen betroffenen Themen.

af-at-work
quelle
Vielen Dank für die Antwort. Es tut mir leid, dass ich nicht früher auf Sie zurückgekommen bin. Lesen Sie jetzt darüber!
Whobutsb