Menyiapkan ELB dengan SSL - Apa itu Otentikasi Backend?

12

Saya mulai mengatur Layanan Perimbangan Beban Elastis Amazon untuk kumpulan server saya dan saya perlu mengatur HTTPS / SSL. Saya memiliki semua pengaturan Sertifikat SSL saya, tetapi kemudian saya sampai pada langkah untuk otentikasi backend dan saya tidak yakin sertifikat apa yang diperlukan dengan "Otentikasi Backend".

Apakah itu kunci pribadi situs saya, kunci publik, atau apakah saya perlu membuat kunci baru di server?

Terima kasih atas bantuannya.

— whobutsb
sumber

"lalu saya datang ke langkah untuk otentikasi backend dan saya tidak yakin sertifikat apa yang diperlukan dengan" Otentikasi Backend ". Apakah itu kunci pribadi situs saya, kunci publik, atau apakah saya perlu membuat kunci baru di server?" <---- Adakah yang punya jawaban untuk bagian pertanyaan ini? Apakah ini sertifikat SSL lain atau file .pem keypair yang mereka berikan kepada Anda saat membuat grup keamanan?

— Hunter Leachman

13

Jawaban sebelumnya tidak 100% akurat.

Apa yang dilakukan otentikasi back-end SEBENARNYA adalah memastikan bahwa kunci publik laporan server backend Anda (ketika ELB berbicara dengan server Anda melalui HTTPS / SSL) cocok dengan kunci publik yang Anda berikan. Ini akan mencegah seseorang melampirkan server jahat ke ELB Anda, atau mengurangi seseorang yang membajak lalu lintas antara ELB dan server Anda.

Otentikasi back-end TIDAK memperhitungkan apakah klien (browser misalnya) berkomunikasi ke ELB Anda melalui HTTPS / SSL. Anda dapat memiliki ELB berkomunikasi dengan klien melalui HTTP, sambil berkomunikasi dengan server backend Anda melalui HTTPS / SSL dengan komunikasi backend. Ini hanya akan memastikan komunikasi antara ELB dan server Anda aman, BUKAN jika koneksi klien aman.

Singkatnya

Selama ELB Anda berkomunikasi dengan instance backend Anda melalui HTTPS, lalu lintas dienkripsi, meskipun mungkin dibajak. Otentikasi back-end membantu mencegah lalu lintas agar tidak dibajak.

Mengapa Anda tidak menggunakan otentikasi back-end?

Performa. Dengan otentikasi back-end diaktifkan, kami telah melihat sekitar 50-70ms peningkatan dalam waktu respons ketika berkomunikasi melalui ELB (dengan semua HTTPS lainnya diaktifkan).

— William King
sumber

1

Hai William, terima kasih atas penjelasannya. Tapi apa vonisnya, ya atau tidak? Apa peluang komutasi antara elb dan instances terganggu? Atau bahkan server jahat terhubung ke elb?

— xor

Untuk dapat melampirkan server jahat ke ELB, seseorang akan memerlukan beberapa kredensial AWS dengan hak istimewa pendaftaran ELB. Saya akan mengatakan kredensial tersebut dipegang oleh server penempatan Anda atau oleh Anda sendiri. Jika kredensial tersebut bocor, ada kemungkinan besar penyerang dapat terhubung ke backend Anda (karena mesin penempatan Anda perlu memperbarui versi aplikasi mereka kemungkinan besar memiliki semacam akses SSH) sehingga memiliki enkripsi https backend mungkin tidak akan membuat perbedaan karena penyerang bisa langsung terhubung ke backend.

— Cyril Duchon-Doris

Jika seandainya saya menggunakan kebijakan keamanan standar AWS - ELBSecurityPolicy-2016-18. Jadi kunci publik atau kunci privat mana yang akan digunakan pada autentikasi back-end.

— Shankar

4

Otentikasi back-end memastikan semua lalu lintas ke / dari instance, load balancer dan klien akan dienkripsi.

Saya mengalami beberapa masalah dengan pengaturan ini sendiri, namun setelah beberapa penggalian saya menemukan bagian masing-masing dalam Panduan Pengembang Penyeimbangan Beban Elastis , lihat Membuat Penyeimbang Beban Dengan Pengaturan Cipher SSL dan Otentikasi Server Back-end - khususnya, Anda mungkin ingin bacalah cara mencapainya dengan Menggunakan Konsol Manajemen AWS , yang menyediakan panduan dan ilustrasi bermanfaat untuk berbagai topik yang terlibat.

— af-di-tempat kerja
sumber

Terima kasih atas jawabannya, maaf saya tidak membalas Anda lebih cepat. Baca ini sekarang!

— whobutsb