1

AWS ALB 允许配置 SSL/TLS 证书以加密客户端和 LB 之间的流量。LB 和目标之间的流量可以使用证书进行保护,但目标证书未经过验证...如下所述:https ://github.com/aws-quickstart/quickstart-compliance-hipaa/issues/9#issuecomment -693746199

问题:VPC 内的流量是否需要额外的措施来保护和防止未经授权的访问?AWS VPC 是否有额外的安全机制来防止窥探或未经授权访问 VPC 内流动的未加密流量?考虑到证书不会被验证,在上述场景中将证书应用于 LB 目标是否有任何切实的好处?

4

1 回答 1

1

您提供的链接很好地解释了这一点。VPC 内的流量仅在AWS 内部网络内发生,而不是通过 Internet。因此,其 AWS 有责任确保其基于AWS 责任共担模型的安全性。

如果您认为 AWS 无法确保其网络和基础设施的安全,那么您从 LB 到目标的流量是否加密并不重要。粗鲁的员工或随机的小偷也可能直接访问您的实例、EBS 卷、KMS 密钥或 S3 存储。SSL 加密不会阻止这一点。

因此,通常不会在 LB 和目标之间应用 SSL,除非由于某些您无法控制的外部要求。还要考虑到 AWS 已有十多年的历史,到目前为止,还没有任何关于 AWS 共享安全模型部分的公开安全漏洞。

于 2020-10-07T00:10:03.190 回答