A exposição direta do tornado em HTTPS significaria que a criptografia TLS é manipulada pelo módulo ssl do Python.
Isso provavelmente é OK se:
-
a distribuição python é recente o suficiente (python < 2.7.9 tem muitos problemas SSL. python > = 2.7.9 ou > = 3.4 é muito melhor)
-
python e libssl são fornecidos através dos pacotes de distribuição do Linux
-
você tem uma política de atualização completa para os pacotes de distribuição
É claro que se o seu aplicativo envolver informações muito confidenciais, a melhor prática seria executar um proxy (como nginx) com uma pilha TLS protegida na frente do seu aplicativo. Por exemplo, executando nginx em um proxy reverso do OpenBSD, que usa LibreSSL.
Para prevenção de negação de serviço, se seu aplicativo for codificado em relação a aplicativos de tornado (nunca bloqueie o ioloop), há pouco a ganhar com um balanceador de carga assíncrono na frente do aplicativo.
E, finalmente, a maioria dos problemas de segurança está, de qualquer maneira, enraizada no próprio aplicativo ... Autenticação, controle de acesso, XSRF, XSS ... O balanceador de carga não os impede.