【发布时间】:2018-08-05 11:09:31
【问题描述】:
我正在对此进行一些研究,如果我们在负载均衡器而不是服务器上安装 SSL 证书,是否存在任何安全风险?安装 SSL 证书的行业最佳实践是什么?在服务器、负载平衡器或 ADC 上?
【问题讨论】:
标签: security ssl load-balancing
【发布时间】:2018-08-05 11:09:31
【问题描述】:
这在服务器故障上可能会更好,但我会在这里试一试。
假设负载平衡器配置正确并且不会提供私钥,那么 SSL 证书本身不会增加安全风险,因为您将 SSL 证书放在负载平衡器上。这种风险存在于任何服务器上,无论负载平衡器是否存在,新的操作系统妥协或攻击可能会(尽管不太可能)允许这种情况发生。
但是,如果负载平衡器仅与内容服务器进行 HTTP 通信,则负载平衡器后面的流量可能会以未加密的方式发送,具体取决于您的操作方式。因此,您还需要将转发的连接配置为使用 HTTPS,或者使用内部证书和您自己的 CA,或者通过在内容服务器上安装面向外部的 HTTPS 证书(如果您的目标是PCI 合规性)。
请记住,还有负载风险,加密成本很高,并且通过将证书放在负载平衡器上会增加错误负载。如果负载均衡器已经过度拉伸,这可能是最后一根稻草。如果您正在查看大量事务,那么您往往会看到一个硬件 SSL 设备位于负责 SSL 流量的负载均衡器之前,然后将 HTTP 与负载均衡器进行通信,后者将 HTTP 与内容服务器进行通信。 (如果您的目标是 PCI 合规性,这需要 HTTPS)
【讨论】:
-
似乎是一个服务器故障问题,但无论如何都很好的答案 - 值得 +1 恕我直言
以下是我能想到的含义:
- 除非您重新加密 SSL 加速器和最终服务器之间的流量,否则内部网络上的流量将采用明文形式。这可能会导致其他安全漏洞变得更加危险。根据您对所传输数据的法律和合同要求,这可能是不可接受的。
- 您将失去使用 X509 证书来识别客户端的能力。这可能是一个问题,也可能不是,这取决于您在做什么。
至于证书管理,您将私钥存储在 SSL 加速器而不是服务器上。这实际上可能是一个优势,因为如果 Web 服务器被入侵,攻击者自己仍然无法访问私钥,因此无法窃取它们。
【讨论】:
有许多级别的负载平衡。您别无选择,只能在最流行的配置中将证书放入负载均衡器中。
例如,如果您在负载均衡器中代理 HTTP 流量,它必须终止 SSL 连接,因此它必须具有证书。
通常,负载平衡器位于安全区域中,因此您不必在平衡器和服务器之间使用 SSL。如果不是这种情况,您可以再次使用 SSL,但您会破坏大多数交换机上 SSL 加速功能的目的。
【讨论】: