VP C среда SSL / HTTPS - PullRequest
Новая
       15

VP C среда SSL / HTTPS

1 голос
/ 16 июня 2020

У меня есть следующая настройка VP C с AWS Elasti c Beanstalk:

  1. Web App Publi c Load Balancer, на который указывает мой домен (проксируется через облачную вспышку) с Экземпляры EC2 в частном su bnet.
  2. Частный внутренний балансировщик нагрузки API с входящим доступом, предоставленным экземплярам EC2 выше через группу безопасности
  3. База данных в частном su bnet, доступная экземплярам EC2 за балансировщиком нагрузки API.

Я хотел бы включить сквозной HTTPS, AWS имеет здесь хорошую документацию (https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https-endtoend.html).

Я следил за этим, хотя и с моими бесплатными сертификатами домена Cloudflare. Это казалось нормальным, пока я не получил следующую ошибку: «SELF_SIGNED_CERT_IN_CHAIN», когда мое веб-приложение пытается подключиться к внутреннему API через https://internal-aweseb-dns.amazonaws.com (DNS для внутреннего балансировщика нагрузки API).

Вопросы

  1. Это правильный способ получить сквозной HTTPS ?; и

  2. Как мне устранить вышеуказанную ошибку? (возвращается Node JS)

Спасибо

1 Ответ

0 голосов
/ 19 июня 2020

В конце концов я пришел к такому выводу: мне не нужен сквозной HTTPS, когда мои экземпляры находятся в частном su bnet, потому что: -

  1. Когда HTTPS завершаются на балансировщике нагрузки, внутренние запросы выполняются через HTTP, но не через publi c inte rnet. Эти запросы не могут быть видны никому за пределами сети AWS.

  2. Данные, которые я передаю, не являются слишком конфиденциальными (только электронные письма и пользовательские настройки), поэтому нет никаких оснований для соответствия / нормативных требований для обеспечения сквозного HTTPS в частной сети.

  3. При использовании HTTPS происходит небольшое снижение производительности, поскольку должно происходить квитирование SSL, что является накладными расходами.

  4. У меня есть дополнительная безопасность с помощью групп безопасности, разрешающих только внутренний трафик c, исходящий от балансировщика нагрузки.

Есть много предложений, которые помогут вам настроить свой приложение, чтобы игнорировать сертификат при подключении через HTTPS ... но это лишает смысла HTTPS (безопасное зашифрованное соединение). Вы также можете просто использовать HTTP вместо этого.

После долгих исследований и обсуждений с AWS я считаю, что использование HTTP во внутренней сети достаточно безопасно для 99% случаев использования и довольно стандартно с много настроек и поэтому, если вам действительно не нужно сквозное шифрование для вашего варианта использования, я бы посоветовал сделать это вместо этого.

Надеюсь, это поможет.

...