HTTPS - Avere TLS configurato su Load Balancer

1

Infine spostiamo il nostro sito web aziendale da HTTP a HTTPS (a causa di Chrome che mostra un avviso di non sicurezza per tutte le pagine pubblicate su HTTP).

Nella mia esperienza so che è meglio avere l'handshaking TLS configurato sui bilanciatori di carico, perché questo rimuoverà il sovraccarico dai server Web.

Ma la persona che gestisce la rete mi ha scoraggiato a configurare HTTPS sui bilanciatori di carico a causa di problemi di sicurezza. In poche parole mi ha spiegato che avere l'https sui nostri load balancer ha messo il nostro sito in una posizione rischiosa, ad esempio siamo più vulnerabili all'attacco DDOS.

È vero?

Quali sono gli svantaggi della sicurezza di avere SSL configurato direttamente sul bilanciamento del carico e cosa succede se ho configurato SSL su un WebServer / Reverse Proxy?

    
posta freedev 14.03.2017 - 15:09
fonte

1 risposta

5

Ho dovuto architettare questo problema.

Lo scaricamento TLS aumenta il carico sui bilanciatori di carico. Non solo subiscono il peso di tutto il traffico, ma devono anche decrittografare il traffico. Se è possibile eseguire la funzione TLS attraverso la proprietà del server Web distribuito, si diffonde il carico.

Ma questo NON è un problema di sicurezza. Questa è una preoccupazione relativa alla capacità di bilanciamento del carico. Se i bilanciatori di carico hanno una capacità tale da non poter gestire TLS, allora sei abbastanza vicino a un evento DoS che potrebbe non avere importanza. È ora di prendere in considerazione l'hardware che è meglio progettato o che può gestire una maggiore capacità.

Ciò che è un problema di sicurezza è che se mantieni l'elaborazione TLS sui server web, non puoi mettere altra tecnologia protettiva davanti ai tuoi server web e dopo i load balancer (come WAF o tutto ciò che ha bisogno di ispezionare il traffico). TLS sui bilanciamenti del carico significa che puoi controllare il traffico in chiaro.

Come sempre, c'è sicurezza / usabilità / equilibrio di bilancio che tutti devono colpire. Se il tuo gestore di rete dice che TLS interromperà i load balancer (oops), dovrai metterlo altrove.

    
risposta data 14.03.2017 - 15:18
fonte

Leggi altre domande sui tag