Correlata, ma non la stessa domanda di Se SSL deve essere terminato su un servizio di bilanciamento del carico? .
Il nostro stack Web assomiglia a:
Qual è la migliore pratica per garantire la sicurezza pur avendo il numero minimo di crittografia / decrittografia TLS?
Se i tuoi dati sono sensibili (più che normali dati personali), potresti voler utilizzare TLS fino al server Web e decifrare nel minor numero possibile di posizioni (idealmente non del tutto). Soprattutto il CDN che non controlli non dovrebbe essere autorizzato a decifrare i dati.
Detto questo, IMHO per la maggior parte dei tipi di dati, la crittografia fino al firewall dovrebbe essere sufficiente, poiché la rete locale dovrebbe essere protetta. Se non lo è (non hai difese fisiche adeguate, come telecamere, allarmi, serrature ...), potresti averne bisogno. Anche tutte le apparecchiature e il networking (3,2,1) dovrebbero essere preferibilmente in una stanza chiusa, dove solo pochi dipendenti altamente fidati hanno accesso, dato che l'accesso fisico è spesso pericoloso quanto i privilegi di root.
Devi ancora crittografare il client su CDN e CDN sul firewall (il tuo edificio), ma se il tuo CDN è affidabile, puoi lasciarlo decodificare i dati.
Leggi altre domande sui tag web-application tls