AWS VPC - le connessioni tra le istanze dovrebbero essere su SSL?

20

Supponiamo di avere alcune istanze EC2 in una rete VPC AWS, ognuna delle quali ha assegnato il proprio indirizzo privato per la sottorete alla creazione. Diciamo che uno di loro è un DB, e un altro una specie di app web che parla al DB. Il DB si assicura di autorizzare solo un certo segmento di IP su quella sottorete.

Quanto è critico il fatto che la comunicazione all'interno di questa sottorete sia crittografata con SSL? Se si verificano intercettazioni, dovresti essere in grado di vedere la password essere trasmessa su testo non crittografato.

Supponendo, per il gusto di argomentare, che non ci siano exploit in AWS, in che misura è possibile intercettare la comunicazione sull'istanza del database o persino MITM?

Quando gestisci il tuo datacenter fisico, puoi essere relativamente sicuro che i tuoi dati non verranno internati internamente, ma in che modo il cloud hosting altera questo approccio? Immagino che i livelli di fiducia siano molto più bassi.

    
posta glitch 09.07.2013 - 23:30
fonte

1 risposta

17

Amazon afferma che AWS VPC è "logicamente isolato" dalle altre istanze AWS e da Internet. "Logicamente" significa che è fatto nel software, non con un sistema hardware dedicato. Un VPC AWS può essere connesso alla tua VPN e utilizzerà IPsec per quella connessione esterna, ma questo non significa che < em> internamente IPsec è usato. In effetti, il modo in cui l'"isolamento" è realmente applicato non è documentato, quindi è un grande sconosciuto.

Supponendo che Amazon non ti sia ostile (nel qual caso sarai condannato in ogni caso) e che inoltre fanno il loro lavoro correttamente, quindi le tue comunicazioni tra i tuoi sistemi dovrebbero em> essere al sicuro da intercettazioni o intercettazioni da parte di terzi. Tuttavia, puoi eseguire il "botch" se i tuoi server si richiamano l'un l'altro per nome e tu permetti al tuo DNS essere avvelenato esternamente. Ti suggerisco di usare esplicitamente /etc/hosts file in modo che i tuoi server non siano convinti di usare indirizzi IP sbagliati, lasciando che i dati scappino in Wild Internet.

L'uso di SSL in ogni caso renderebbe le cose più facili se decidessi, in futuro, di migrare i tuoi server in qualche altro provider cloud, o se smetterai di essere così fiducioso nella competenza di Amazon contro gli attacchi di rete. Dopotutto, la sicurezza IT è nota per essere difficile.

    
risposta data 10.07.2013 - 00:46
fonte

Leggi altre domande sui tag