এসএসএল দিয়ে ইএলবি স্থাপন করা - ব্যাকেন্ডের অনুমোদন কী?


12

আমি আমার সার্ভার পুলের জন্য অ্যামাজনের ইলাস্টিক লোড ব্যালেন্সিং পরিষেবা স্থাপন শুরু করেছি এবং আমার এইচটিটিপিএস / এসএসএল সেটআপ করা দরকার। আমার আমার সমস্ত এসএসএল শংসাপত্রগুলি সেটআপ আছে তবে আমি ব্যাকএন্ড প্রমাণীকরণের পদক্ষেপে এসে পৌঁছেছি এবং "ব্যাকএন্ড প্রমাণীকরণ" দিয়ে কোন শংসাপত্রের প্রয়োজন তা আমি নিশ্চিত নই।

এটি কি আমার সাইটগুলি ব্যক্তিগত কী, সর্বজনীন কী বা সার্ভারে আমার একটি নতুন কী উত্পন্ন করার দরকার আছে?

সহায়তার জন্য আপনাকে ধন্যবাদ।


"তারপরে আমি ব্যাকএন্ড প্রমাণীকরণের পদক্ষেপে এসেছি এবং" ব্যাকএন্ড প্রমাণীকরণ "দিয়ে কোন শংসাপত্রের প্রয়োজন তা আমি নিশ্চিত নই it এটি কি আমার সাইটগুলি ব্যক্তিগত কী, সর্বজনীন কী বা সার্ভারে আমার নতুন কী উত্পন্ন করার দরকার আছে?" <---- প্রশ্নের এই অংশটির কারও উত্তর আছে? সুরক্ষা গোষ্ঠী তৈরি করার সময় এগুলি কী আপনাকে একটি এসএসএল শংসাপত্র বা কী-পেয়ার .পিএম ফাইল দেয়?
হান্টার লিচম্যান

উত্তর:


13

পূর্ববর্তী উত্তর 100% সঠিক নয়।

ব্যাক-এন্ড প্রমাণীকরণ আসলে কীটি তা নিশ্চিত করে তা নিশ্চিত করে যে আপনার ব্যাকএন্ড সার্ভারের প্রতিবেদনগুলি (যখন ELB আপনার সার্ভারের সাথে এইচটিটিপিএস / এসএসএল এর সাথে কথা বলছে) আপনার সরবরাহিত পাবলিক কীটির সাথে মেলে। এটি কাউকে আপনার ইএলবিতে দূষিত সার্ভার সংযুক্ত করা বা ইএলবি এবং আপনার সার্ভারগুলির মধ্যে ট্র্যাফিক হাইজ্যাক করে কেউ প্রশমিত করতে পারে।

ক্লায়েন্ট (উদাহরণস্বরূপ একটি ব্রাউজার) আপনার ইএলবিতে এইচটিটিপিএস / এসএসএলের সাথে যোগাযোগ করছে কিনা তা ব্যাক-এন্ড প্রমাণীকরণের বিষয়টি আমলে নেয় না। HTTP- র মাধ্যমে কোনও ক্লায়েন্টের সাথে আপনার একটি ELB যোগাযোগ থাকতে পারে, যখন ব্যাকএন্ড যোগাযোগের মাধ্যমে এইচটিটিপিএস / এসএসএলে আপনার ব্যাকএন্ড সার্ভারগুলিতে যোগাযোগ করার সময়। এটি কেবলমাত্র ELB এবং আপনার সার্ভারের মধ্যে যোগাযোগ সুরক্ষিত তা নিশ্চিত করবে, যদি ক্লায়েন্টদের সংযোগ নিরাপদ থাকে না।

সংক্ষেপে

আপনার ELB যতক্ষণ এইচটিটিপিএস-এর মাধ্যমে আপনার ব্যাকএন্ডের সাথে যোগাযোগ করছে, ট্র্যাফিকটি এনক্রিপ্ট করা থাকবে, যদিও এটি হাইজ্যাক হতে পারে be ব্যাক-এন্ড প্রমাণীকরণ সেই ট্র্যাফিককে হাইজ্যাক হতে আটকাতে সহায়তা করে।

আপনি কেন ব্যাক-এন্ড প্রমাণীকরণ ব্যবহার করবেন না?

কর্মক্ষমতা. ব্যাক-এন্ড প্রমাণীকরণ সক্ষম করা সহ, আমরা ইএলবির মাধ্যমে যোগাযোগ করার সময় প্রতিক্রিয়ার সময়ে প্রায় 50-70ms বৃদ্ধি পেয়েছি (অন্যান্য সমস্ত এইচটিটিপিএস সক্ষম রয়েছে)।


1
হাই উইলিয়াম, ব্যাখ্যাটির জন্য ধন্যবাদ। তবে রায় কী, তা করবেন নাকি? এলিব এবং দৃষ্টান্তগুলির মধ্যে যোগাযোগের সম্ভাবনা কী? অথবা এমনকি কোনও দূষিত সার্ভারটি এল্বের সাথে সংযুক্ত হয়ে যায়?
xor

কোনও ইএলবিতে একটি দূষিত সার্ভার সংযুক্ত করতে সক্ষম হতে, একটির জন্য ELB নিবন্ধীকরণের অধিকারগুলির সাথে কিছু AWS শংসাপত্রের প্রয়োজন হবে। আমি বলব যে শংসাপত্রগুলি আপনার ডিপ্লোয়মেন্ট সার্ভার বা নিজের দ্বারা রাখা আছে। যদি এই শংসাপত্রগুলি ফাঁস হয়ে যায়, তবে আক্রমণকারী যেভাবেই আপনার ব্যাকেন্ডের সাথে সংযোগ স্থাপন করতে পারে এমন একটি উচ্চ সম্ভাবনা রয়েছে (যেহেতু আপনার স্থাপনার মেশিনগুলিকে অ্যাপ্লিকেশন সংস্করণগুলি আপডেট করতে হবে তাদের সম্ভবত কিছুটা এসএসএইচ অ্যাক্সেস থাকতে হবে) সুতরাং https ব্যাকএন্ড এনক্রিপশন সম্ভবত কোনওরকম তৈরি করবে না আক্রমণকারী যেহেতু সরাসরি ব্যাকএন্ডের সাথে সংযোগ করতে পারে তাই পার্থক্য।
সিরিল ডুচন-ডরিস

মনে করুন যদি আমি AWS ডিফল্ট সুরক্ষা নীতি - ELBSecurityPolicy-2016-18 ব্যবহার করছি। সুতরাং কোন সর্বজনীন কী বা ব্যক্তিগত কী ব্যাক-এন্ড প্রমাণীকরণে ব্যবহৃত হতে চলেছে।
শঙ্কর

4

ব্যাক-এন্ড প্রমাণীকরণ সমস্ত ট্র্যাফিকগুলিতে / উদাহরণগুলি থেকে নিশ্চিত করে, লোড ব্যালেন্সার এবং ক্লায়েন্ট এনক্রিপ্ট করা হবে।

আমার নিজের এই সেটআপটি নিয়ে কিছুটা সমস্যা হয়েছিল, তবে কিছু খননের পরে আমি ইলাস্টিক লোড ব্যালেন্সিং বিকাশকারী গাইডের মধ্যে সংশ্লিষ্ট বিভাগটি খুঁজে পেয়েছি , এসএসএল সিফার সেটিংস এবং ব্যাক-এন্ড সার্ভার প্রমাণীকরণের সাথে একটি লোড ব্যালান্সার তৈরি করা দেখুন - বিশেষত, আপনি চাইলে কীভাবে এটি [A] এসডাব্লুএস ম্যানেজমেন্ট কনসোল ব্যবহার করে তা অর্জন করবেন তা পড়ুন , যা জড়িত বিভিন্ন বিষয়ের জন্য সহায়ক হাঁটাচলা এবং চিত্র সরবরাহ করে।


উত্তরের জন্য আপনাকে ধন্যবাদ, দুঃখিত আমি খুব শীঘ্রই আপনার কাছে ফিরে পাইনি। এই এখন পড়া!
হুবুটসব
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.