SSL обратный прокси и безопасность (подслушивание)
Я новичок в хостинге в датацентре. Я бы разместил свое приложение в центре обработки данных (колокейшн). Я могу продать мне только тот залив, который мне нужен. Я хотел бы использовать обратный прокси-сервер SSL:
Обратный прокси-сервер SSL + LoadBalancer <----> WebServer1 <----> WebServer2
Если я позволю прокси-серверу SSL Reverse выполнять всю работу по SSL, все между веб-серверами и балансировщиком нагрузки не будет защищено.
Мой вопрос: поскольку я куплю только 3 стойки у хостинг-сервиса, как можно обеспечить связь между веб-серверами и балансировщиком нагрузки у кого-то внутри?
Спасибо!
3 ответа
Вы размещаете свое оборудование или покупаете управляемый хостинг? Вы упоминаете colo, но если вы обеспокоены незашифрованными данными после разгрузки SSL, то похоже, что вы делаете управляемый хостинг.
В случае colo, где безопасность имеет первостепенное значение (что звучит так, как будто это в вашем случае), вы бы настаивали на физической безопасности вашего оборудования - в основном, замков и ключей. Сделав это и убедившись, что ваше единственное соединение с вашим провайдером / центром обработки данных является вашим сетевым ресурсом, вы можете быть уверены, что все, что вы делаете после этого соединения в вашей среде, полностью безопасно.
В альтернативном случае, когда вы покупаете хостинговые услуги, такие как выделенные серверы, брандмауэры, l / b, сети и т. Д., Вы не можете быть на 100% уверены, что кто-то не сможет выполнить атаку типа "человек посередине" физическая или виртуальная маршрутизация ваших данных без SSL через некоторую дополнительную систему.
Если вы обеспокоены безопасностью между вашим L/B и веб-серверами, я не вижу особого смысла в удалении SSL и повторном добавлении IPSEC VPN или подобного. Возможно, было бы лучше, если бы SSL проходил полностью через веб-серверы беспрепятственно (за исключением того, что вы, несомненно, хотите использовать функцию обратного прокси-сервера).
Вы можете настроить IPSec в своей локальной сети для защиты сети между балансировщиками нагрузки и веб-серверами.
Как это часто бывает с безопасностью, будет компромисс - вы добавите сложность, а также можете усложнить устранение неполадок в сети. Поэтому вам нужно решить, стоит ли это того.
Если вы используете Apache Httpd с mod_proxyв качестве обратного прокси-сервера вы также можете подключиться к внешнему интерфейсу Httpd и внутреннему веб-серверу с помощью HTTPS.
В этом случае Httpd должен быть настроен как клиент SSL (поэтому вы должны указать ему, каким сертификатам CA доверять). Как указано во введении mod_proxy документации, это можно сделать с помощью SSLProxy* директивы.
В частности, вы должны установить SSLProxyCACertificateFile (или же ...Path) а также SSLProxyCheckPeerCN on,
Я не пробовал, но похоже SSLProxyMachineCertificateFile предназначен для настройки клиентских сертификатов (обратный прокси-сервер является клиентом). Было бы целесообразно аутентифицировать обратный прокси-сервер на внутренних серверах, которые он использует.
(Как предлагается в другом ответе, решение VPN может быть проще в настройке.)