Назад | Перейти на главную страницу

Прокси-SSL от балансировщика нагрузки

Администратор сервера, настраивающий балансировщик нагрузки, спросил меня, хочу ли я:

  1. Размещение сертификатов SSL непосредственно на веб-серверах
  2. или прокси-SSL от балансировщика нагрузки

Я сделал только первую реализацию. Может кто-нибудь их сравнить?

Если у меня есть веб-приложение, которое требует HTTPS для определенной страницы, повлияет ли на него этот выбор?

  1. Ваш веб-сервер должен выполнять всю обработку SSL / TLS. Это означает большую нагрузку на веб-сервер, но вы полностью контролируете сертификаты и сквозную безопасность.

  2. Ваш веб-сервер может обслуживать все как обычные веб-страницы, разгружая обработку SSL / TLS. Значительно меньшая нагрузка на веб-сервер, но вы больше не контролируете сертификаты самостоятельно и нарушаете сквозную безопасность.

В конце концов, все сводится к тому, доверяете ли вы безопасности балансировщика нагрузки и сети между балансировщиком нагрузки и веб-сервером. Если нет, не беспокойтесь. Обратите внимание, что если вы выполняете транзакции по кредитной карте или что-то подобное, существуют довольно строгие правила относительно того, когда вы можете отправлять незашифрованные данные с разгрузки SSL / TLS на свой сервер. Перемещение сертификата не является преимуществом безопасности (кто-то, взломавший ваш веб-сервер, получит все данные, независимо от того, могут ли они украсть ваши сертификаты или нет).

У вас есть такие накладные расходы от SSL / TLS, что вам действительно нужно переложить их на внешнее оборудование?

Обычно вы можете настроить систему разгрузки, чтобы обеспечить безопасность SSL / TLS только там, где это действительно необходимо.