Amazon fornisce un collegamento sicuro tra i server

Ad esempio, supponiamo di avere un'istanza ec2 e un bilanciatore di carico elastico, è sicuro ricevere il traffico HTTPS al loadbalancer e inoltrarlo (non codificato) all'istanza.

Ho abilitato l'insieme minimo di autorizzazioni per i gruppi di protezione per consentire all'operatore di bilanciamento del carico di parlare con l'istanza, tuttavia non mi è chiaro se queste autorizzazioni sono applicate a livello VM oa livello di networking. Se solo al livello di VM, presumibilmente, altre istanze sulla subnet possono annusare traffico di networking non crittografato.

  • Come si utilizza sicuramente il supporto di ELB per la versione PROXY protocollo 1?
  • Come registrare il valore originale di $ remote_addr quando si utilizza Real-IP
  • Does Heartbleed influenza il bilanciatore di carico elastico di AWS?
  • Perché non posso creare un set di record di risorsa Alias ​​per un'istanza EC2
  • Come configurare l'objective di ping di Amazon ELB per haproxy
  • c'è un standard per incatenare x-forwarded-for headers?
  • Impostazione di ELB con SSL - Che cosa è l'authentication Backend?
  • La politica di scala automatica di AWS - troppo spesso
  • 2 Solutions collect form web for “Amazon fornisce un collegamento sicuro tra i server”

    Questo è ciò per cui è un VPC. È ansible isolare l'istanza nella propria substring e l'unico modo per accedere è l'indirizzo IP interno. Leggi qui qui: http://aws.amazon.com/vpc/

    Il traffico deve essere sicuro, in quanto solo il traffico destinato all'istanza viene sempre inviato. Anche se, se sono dati sensibili, si potrebbe desiderare di crittografare tutto il path dell'istanza.

    Da https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf (sito https://aws.amazon.com/whitepapers/ ):

    Svuotamento dei pacchetti da parte di altri inquilini: non è ansible che un'istanza virtuale venga eseguita in modalità promiscua per ricevere o "annusare" il traffico destinato ad un'istanza virtuale diversa. Mentre i clienti possono collocare le interfacce in modalità promiscua, l'ipervisore non consegnerà alcun traffico verso di loro che non è destinato a loro. Ciò include due istanze virtuali che sono di properties; dello stesso cliente, anche se si trovano sullo stesso host fisico. Gli attacchi come l'avvelenamento della cache ARP non funzionano all'interno di EC2. Mentre Amazon EC2 fornisce un'ampia protezione contro un cliente che cerca inavvertitamente o maliciously di visualizzare i dati di un altro, come pratica standard i clienti devono crittografare il traffico sensibile.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.