SSL proxy do balanceador de carga

2

Um administrador do servidor que está configurando um balanceador de carga perguntou se eu queria:

  1. Certs do host SSL diretamente nos servidores da web
  2. ou SSL proxy do balanceador de carga

Eu só fiz a implementação anterior. Alguém pode comparar isso?

Se eu tiver um aplicativo da Web que requer HTTPS para determinada página, ele será afetado por essa opção?

    
por frankadelic 11.03.2010 / 00:48

1 resposta

1
  1. Seu servidor da web precisa fazer todo o processamento SSL / TLS. Isso significa mais carga no servidor da Web, mas você tem controle total sobre os certificados e a segurança de ponta a ponta.

  2. Seu servidor da web pode servir tudo como páginas da web normais, descarregando o processamento de SSL / TLS. Uma carga consideravelmente menor no servidor da Web, mas você não controla mais os certificados e quebra a segurança de ponta a ponta.

No final, tudo se resume a confiar na segurança do balanceador de carga e da rede entre o balanceador de carga e o servidor da web. Se não, não se incomode. Observe que, se você estiver executando transações com cartão de crédito ou algo semelhante, há algumas regras bastante rígidas sobre quando você pode enviar os dados não criptografados do descarregamento SSL / TLS para o servidor. Mover o certificado não é realmente uma vantagem de segurança (alguém invadindo seu servidor da web obterá todos os dados, independentemente de poder roubar seus certificados).

Você tem uma sobrecarga de SSL / TLS que realmente precisa descarregar em hardware externo?

Normalmente, você pode configurar o sistema de descarregamento para fornecer apenas segurança SSL / TLS onde for realmente necessário.

    
por 11.03.2010 / 01:05