低代码到底是不是行业毒瘤?一线大厂怎么做的?戳此了解>>> 了解详情
写点什么

适用于网络负载均衡器的 TLS 终止

2019 年 10 月 10 日

适用于网络负载均衡器的 TLS 终止


当您使用 HTTPS 协议访问网站时,将会发生一系列奇妙的事情(正式名称为 SSL/TLS 握手)以创建和保持安全的通信通道。客户端(浏览器)和 Web 服务器会共同协商出一致的加密方法、交换密钥并设置会话密钥。会话建立后,对话两端都将使用会话密钥对所有后续流量进行加密和解密。由于会话密钥对客户端和服务器之间的对话而言是唯一的,第三方无法对流量进行解密,也无法干扰对话。


新的 TLS 终止功能


今天我们进一步简化了构建安全 Web 应用程序的过程,让您可以在网络负载均衡器上终止 TLS(传输层安全)连接(您可以将 TLS 想象为提供 HTTPS 中的“S”)。这样您的后端服务器将无需执行需要耗费大量计算资源的流量加密和解密任务,同时又提供了多种其他功能和优势:


源 IP 保护 — 即使 TLS 在 NLB 处终止,仍可将源 IP 地址和端口呈现给后端服务器。就像我同事 Colm 所说,这根本“太神奇了!”


简化管理 — 大规模使用 TLS 意味着您需要承担向每个后端服务器发布服务器证书的责任。这产生了超额的管理工作(有时会涉及一系列的代理服务器),同时由于存在多个证书副本,也增加了您的受攻击面。今天的发布消除了所有这些复杂性,让您可以集中管理证书。如果您使用 AWS Certificate Manager (ACM),您的证书将会得到安全存储,定期失效和轮换,并自动更新,所有这些操作都无需您动手。


实时安装补丁 — TLS 协议十分复杂,其实施也需要不时更新以应对新出现的威胁。在 NLB 处终止连接可帮助您后端服务器,让我们针对这些威胁更新您的 NLB。我们使用 s2n 协议,这是我们以安全性为中心并经正式验证 的 TLS/SSL 协议实现。


提高合规性 — 您可以使用内置的安全策略以指定可您的应用程序可接受的加密套件和协议版本。这将对您的 PCI 和 FedRAMP 合规工作提供极大的帮助,同时也有利于您获得理想的 TLS 得分。


Classic 升级 如果您目前使用 Classic Load Balancer 作为 TLS 终止点,切换到网络负载均衡器可让您更快速地扩展,从而满足负载增加的需求。此外,您还可以将静态 IP 地址用于 NLB,记录请求的源 IP 地址日志。


访问日志 — 您现在可以启用网络负载均衡器的访问日志功能,将它们指向您选择的 S3 存储桶。日志条目包含有关 TLS 协议版本、加密套件、连接时间、握手时间等方面的详细信息。


TLS 终止功能的使用


您可以在几分钟内创建网络负载均衡器并使用 TLS 终止功能! 您可以使用 API (CreateLoadBalancer)、CLI (create-load-balancer)、EC2 控制台或 AWS CloudFormation 模板。我将使用控制台并单击“负载均衡器”开始。然后我会单击网络负载均衡器区域的创建:



我会输入一个名称 (MyLB2),“Load Balancer Protocol(负载均衡器协议)”选择 TLS (Secure TCP):



然后我会选择一个或多个可用区,此外还可以为每个可用区选择一个弹性 IP 地址。我还可以选择为我的 NLB 添加标签。所有设置都完成后,我会单击 Next: Configure Security Settings(下一步:配置安全设置)继续:



在下一页,我可以选择现有证书或上传新的证书。我已经拥有 www.jeff-barr.com 的证书,因此我会选择它。我还将选择一个安全策略(稍后进一步详细解释):



目前共有七种安全策略可供选择。每种策略都允许使用一定的 TLS 版本和加密方法:



使用 describe-load-balancer-policies 命令可以了解有关策略的更多信息:



选择好证书和策略后,我会单击 Next:Configure Routing(下一步:配置路由)。我可以选择将在我的 NLB 和目标之间使用的通信协议(TCP 或 TLS)。如果我选择 TLS,通信将会加密;这样可让您使用完全的端到端传输中加密:



剩余的设置流程步骤与通常一样,我可以立即开始使用我的网络负载均衡器。


现已推出


TLS 终止功能现已面向以下区域推出,您可以立即开始使用:美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(加利福尼亚北部)、美国西部(俄勒冈)、亚太地区(孟买)、亚太地区(首尔)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(东京)、加拿大(中部)、欧洲(法兰克福)、欧洲(爱尔兰)、欧洲(伦敦)、欧洲(巴黎)以及南美洲(圣保罗)。


作者介绍:


Jeff Barr


AWS 首席布道师; 2004 年开始发布博客,此后便笔耕不辍。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/new-tls-termination-for-network-load-balancers/


2019 年 10 月 10 日 13:20417
用户头像

发布了 1249 篇内容, 共 33.1 次阅读, 收获喜欢 34 次。

关注

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

古典互联网vs区块链,是一场价值观之争吗?

北熊老师

太空猫公链 Thinkium

H5和WebRTC实时通讯方案的不同

liuzhen007

5月日更

【LeetCode】整数反转Java题解

HQ数字卡

算法 LeetCode 5月日更

区块链数字钱包——未来世界的银行卡

CECBC区块链专委会

区块链

基于腾讯云Serverless部署游戏:合成大西瓜

一颗小树

#Serverless #python #腾讯云

原来长大以后,我发现以前面临到的难题并没有不见,只是换了角度出现在生活的另一面。

叶小鍵

白嫖福利!阿里P7大神梳理的Java数组详细知识点,太实用了

飞飞JAva

Java

让 Go 代码跑上移动端

Rayjun

go gomobile

五月,开篇

程序员架构进阶

个人提升 28天写作 5月日更 总结思考

C++边练习边学习

IT蜗壳-Tango

五月日更

如何提升工作效率

wangwei1237

工作效率 文化 大历史理论

模块三作业

Geek_1cdcf6

架构实战营

自己在 InfoQ 平台的期冀——共同成长

liuzhen007

1 周年盛典

别再傻傻分不清AVSx H.26x MPEG-x了

LoveYFan

音视频

区块链蕴含的变革力量

CECBC区块链专委会

区块链

模块三作业-消息队列系统架构设计文档

张大彪

软件开发不同阶段的命名风格

顿晓

5月日更 命名 风格

国内开源项目无法形成气候且难以持续性的问题分析

读字节

创业者 开源社区

机器学习 Machine Learning- 吴恩达Andrew Ng 第1~5课总结 John 易筋 ARTS 打卡 Week 46

John(易筋)

ARTS 打卡计划

把复杂留给自己,简单留给用户

石云升

5月日更

清华学霸!用18行代码讲解Java接口,程序员:果然厉害,学到了

牛哄哄的java大师

Java 接口

真实!MySQL数据库:喂,先别跑好吗?程序员:不跑你养我啊?

java专业爱好者

Java MySQL

一文入门Golang之文件操作【推荐收藏】

liuzhen007

go 文件 Go 语言 5月日更

2021,户外LED早已不止是一块大屏!

󠀛Ferry

5月日更

算法训练营 - 学习笔记 - 第四周

心在飞

微服务架构下的服务治理:如何在SpringCloud框架中实现服务的注册与发现

攻城狮Chova

SpringCloud 微服务治理 5月日更

网络攻防学习笔记 Day3

穿过生命散发芬芳

5月日更 网络攻防

3.5 Go语言从入门到精通:标准输入输出fmt包

xcbeyond

golang Go语言从入门到精通 5月日更 fmt包

第八大洲环游记(一):平流层上的非洲故事

脑极体

什么是批判性思考及推理

sherlockq

几种讨论场景下的原则

sherlockq

2021 ThoughtWorks 技术雷达峰会

2021 ThoughtWorks 技术雷达峰会

适用于网络负载均衡器的 TLS 终止-InfoQ