AWS架构上的SSL协议？

Question

这是我的AWS架构

1 Load Balancer
2 Web/Application server
1 DB server

如果client -和我的LB使用SSL(HTTPS)协议通信，那么内部LB-WEB/APP-DB服务器使用HTTP通信是否安全？或者它们是否也应该在内部使用相同的SSL证书进行通信？

Answer 1

您当然可以在web实例上终止SSL，但在负载均衡器上使用SSL，并在ELB和web实例之间通过http进行通信可能要容易得多。

当然，这假设您在VPC内运行。

Answer 2

随着您的扩展，将SSL终止于LB和内部流量，非SSL将为您节省大量开销。

Answer 3

使用Cloudfront另一种选择是在ELB前面创建一个Cloudfront分发，您的SSL连接在最近的Edge位置终止。从Cloudfront到LLB(在特定区域)，它使用AWS WAN，因此，如果您可以接受这种级别的安全性，您也可以使用从Edge location缓存和交付的静态内容来获得更好的性能。另一个优势是，无论您所在的ELB区域如何，您都可以从AWS for Cloudfront获得免费的SSL证书。

对于DB服务器，通常与WebServer放在同一个虚拟专用网内，不允许外部访问。因此，除非您有特定的法规要求，否则我认为在私有网络中放置单独的数据库访问证书没有多大意义。