Рейтинг:0

Достижение mTLS с помощью AWS ALB

флаг fm

Если в моей инфраструктуре есть ALB с нисходящими целевыми группами ECS, будет ли SSL/TLS всегда завершаться на ALB?

Если да, то есть ли у меня единственные варианты ELB/NLB для сохранения контекста SSL/TLS?

Рейтинг:1
флаг gp
Tim

ALB всегда завершает https, но может создать новый сеанс https для ваших целевых серверов, если вы настроите их с помощью сертификатов. Информация здесь. Обратите внимание, что вы не можете использовать AWS Certificate Manager для серверов, вам нужны сторонние сертификаты.

Если вы хотите, чтобы TLS отключался на самих серверах, лучше всего использовать NLB. ELB обычно не используются в наши дни, если у вас нет очень веской причины, они первого поколения.

RustyShackleford avatar
флаг fm
Новая сессия удовлетворит мои требования. Как мне создать новую сессию https для моей целевой группы?
Tim avatar
флаг gp
Tim
Ответ отредактирован. Вы настраиваете свои серверы с сертификатами https и убедитесь, что целевая группа настроена на использование https
RustyShackleford avatar
флаг fm
Почему вы не можете использовать менеджер сертификатов AWS?
RustyShackleford avatar
флаг fm
Похоже, что сертификат не проверяется в ALB, поэтому он не будет таким безопасным, как сквозной mTLS. https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration
Tim avatar
флаг gp
Tim
Я никогда не могу вспомнить, в порядке ли самоподписанные сертификаты, похоже, что они есть. Вы не можете использовать AWS Certificate Manager, потому что невозможно экспортировать закрытый ключ для установки в вашем экземпляре.
RustyShackleford avatar
флаг fm
Разве сервер не мог просто выполнить `acm:exportcertificate` и вернуть экспортированный файл, содержащий сертификат, цепочку сертификатов и зашифрованный закрытый ключ. @Тим
RustyShackleford avatar
флаг fm
Похоже, вы можете экспортировать cert/ca/private key из частного центра сертификации, а не из публичного.
Tim avatar
флаг gp
Tim
Именно так, а частный ЦС стоит около 600 долларов в месяц с памяти. Для своих личных серверов я использую сертификаты Let's Encrypt с certbot. В коммерческих целях я склонен использовать самоподписанные сертификаты, если только нет веской причины использовать Let's Encrypt/коммерческий/что-то еще.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.