Я новичок в хостинге в центре обработки данных. Я бы разместил свое приложение в центре обработки данных (колокация). Я могу продать только нужную мне бухту. Я хочу использовать обратный прокси-сервер SSL:
Обратный прокси SSL + LoadBalancer <----> WebServer1 <----> WebServer2
Если я позволю обратному прокси-серверу SSL выполнять все задания SSL, все между веб-серверами и балансировщиком нагрузки не будет защищено.
У меня вопрос: поскольку я куплю только 3 стойки у хостинга, как можно защитить связь между веб-серверами и балансировщиком нагрузки от кого-то изнутри?
Спасибо !
Вы можете настроить IPSec в вашей локальной сети для защиты сети между балансировщиками нагрузки и вашими веб-серверами.
Как это часто бывает с безопасностью, придется пойти на компромисс - вы добавите сложности, а также можете усложнить устранение сетевых проблем. Так что вам нужно решить, стоит ли оно того.
Если вы используете Apache Httpd с mod_proxy
как обратный прокси, вы также можете подключиться к интерфейсу Httpd и внутреннему веб-серверу с помощью HTTPS.
В этом случае Httpd необходимо настроить как SSL-клиент (поэтому вам нужно указать ему, каким сертификатам CA доверять). Как указано во введении mod_proxy
документации, это можно сделать с помощью SSLProxy*
директивы.
В частности, вы должны установить SSLProxyCACertificateFile
(или ...Path
) и SSLProxyCheckPeerCN on
.
Я не пробовал, но похоже SSLProxyMachineCertificateFile
предназначен для настройки клиентских сертификатов (обратный прокси-сервер является клиентом). Было бы разумно аутентифицировать обратный прокси-сервер на внутренних серверах, которые он использует.
(Как предлагается в другом ответе, решение VPN может быть проще настроить.)
Вы размещаете свое оборудование или покупаете управляемый хостинг? Вы упоминаете colo, но если вас беспокоят незашифрованные данные после разгрузки SSL, это похоже на управляемый хостинг.
В случае коло, где безопасность имеет первостепенное значение (что, похоже, так и есть в вашем случае), вы бы настаивали на физическая охрана вашего оборудования - в основном замки и ключи. Сделав это и убедившись, что ваше единственное подключение к вашему провайдеру / центру обработки данных - это ваша сеть, вы можете быть уверены, что все, что вы делаете после этого подключения в своей среде, полностью безопасно.
В альтернативном случае, когда вы покупаете услуги хостинга, такие как выделенные серверы, брандмауэры, l / b, сети и т. Д., Вы не можете быть на 100% уверены, что кто-то не сможет провести атаку в стиле «человек посередине» путем физическая или виртуальная маршрутизация ваших данных без SSL через какую-либо дополнительную систему.
Если вас беспокоит безопасность между вашим L / B и веб-серверами, я не вижу особого смысла в удалении SSL, а затем повторном добавлении IPSEC VPN или аналогичного. Вам, вероятно, будет лучше разрешить SSL беспрепятственно проходить через веб-серверы (за исключением того, что вы, несомненно, хотите использовать функцию обратного прокси).