Ponto de terminação SSL para o AWS EC2? ELB ou NginX ou ..?

Navegue suas respostas
2

Eu tenho vários aplicativos da web Java independentes que atualmente são executados em portas e URLs diferentes. Gostaria de expor todos esses aplicativos por trás de uma única porta (443) e mapear as diferentes URLs públicas para a URL / porta interna individual. Eu estou pensando que os clientes acertam o Nginx como proxy reverso.

Também preciso que esses aplicativos sejam acessíveis apenas por meio do SSL e planejem tudo em um AWS VPC com o SSL sendo encerrado no AWS ELB antes de atingir o proxy reverso.

Isto parece ser uma pilha bastante padrão. Existe alguma razão para não fazer isso? Qualquer motivo eu deveria terminar o SSL no proxy reverso (Nginx ou outro) em vez do AWS ELB?

obrigado

    
por Andrew 19.09.2014 / 08:05

1 resposta

2

Em algumas configurações, há aspectos de segurança a serem considerados ao decidir onde encerrar o SSL:

  • Em qual nó você deseja confiar com seu certificado?
  • Quanta comunicação acontecerá por trás do ponto de terminação SSL e, portanto, permanecerá desprotegida?

Você também precisa considerar aspectos técnicos sobre o que é possível e o que não é:

  • Um balanceador de carga que não encerra o SSL não pode inserir cabeçalhos X-Forwarded-For. Assim, o back-end não conhecerá o endereço IP do cliente, a menos que você use o balanceamento de carga baseado em DSR.
  • Um front-end que não encerra o SSL não pode despachar para diferentes backends dependendo do nome do domínio, a menos que o cliente suporte SNI.
por 08.11.2014 / 18:13

Tags

Tentou negar acesso ao módulo apache / server-status com algumas exceções, mas ficou exposto em todos os lugares Apache 2.4 RequestHeader enquanto proxy reverso com ProxyPass