Domanda generale su canali sicuri e implementazioni

Naviga le tue risposte
1
  1. Nel mondo moderno delle CPU veloci e dei grandi blocchi di memoria dovremmo usare i canali codificati TLS al di fuori del paradigma browser / server? Uno degli esempi sarebbe quello di stabilire una connessione TLS tra i micro servizi interni. Ad esempio due microservizi all'interno della stessa sottorete VPC AWS? O le politiche generali di routing sono sufficienti per garantire la sicurezza?
  2. Perché è necessaria la terminazione TSL / SSL? Esiste qualche ragione per la sua esistenza oltre al supporto del puro software HTTP, come Varnish?

Dichiarazione di non responsabilità: si noti che ho assolutamente zero conoscenze in infrastrutture sicure e la loro protezione, quindi sono apprezzate le spiegazioni in termini laici.

    
posta Yerken 10.11.2016 - 15:15
fonte

1 risposta

3

  1. La pratica corrente presuppone che le politiche generali di routing siano sufficienti. Questo è principalmente per la facilità d'uso di Ops (shaping del traffico basato sul contenuto, rilevamento automatico delle intrusioni, ecc., Lavorare più facilmente sul traffico non criptato) più di ogni altra cosa. Non è un'ipotesi assurda: se qualcuno possiede una macchina sufficiente per avere accesso allo sniffing del traffico, probabilmente potrebbe accedere ai certificati ssl per quella macchina. Significa che le cose sono meno contenute di quanto potrebbero essere. È una decisione di gestione del rischio: aggiungi sicurezza e rallenta il tuo team operativo? O vai un po 'più aperto e renditi la vita più facile.

  2. Un vantaggio della terminazione SSL / TLS al confine e HTTP internamente è un accesso più semplice ai contenuti ai fini del rilevamento delle intrusioni. È anche molto più semplice avere SSL gestito in un unico posto, piuttosto che dover garantire trust usando i certificati jolly (se si utilizza una CA esterna) o certificati autofirmati per i singoli host (se si utilizza una CA autofirmata interna) . Diventa più difficile eseguire internamente TLS con il ridimensionamento: gli host stanno comparendo e scomparendo. Clear è più facile. Di nuovo, questo è un compromesso: devi prendere una decisione per il tuo ambiente, i tuoi contenuti, la tua esigenza di ridimensionamento e cambiamenti rapidi, il tuo team operativo.

risposta data 10.11.2016 - 17:02
fonte

Leggi altre domande sui tag

è mai esistito un virus router in grado di inviare SMS (testo) Come garantire che le mie richieste API vengano inviate utilizzando SSL