AWS VPC: ¿las conexiones entre instancias deben ser por SSL?

Navega tus respuestas
20

Digamos que tengo algunas instancias de EC2 en una red AWS VPC, cada una asignada a su propia subred dirección privada en el momento de la creación. Digamos que uno de ellos es una base de datos y otro tipo de aplicación web que habla con la base de datos. El DB se asegura de autorizar solo un determinado segmento de IP en esa subred.

¿Qué tan crítico es que la comunicación dentro de esta subred esté cifrada con SSL? Si se producen escuchas ilegales, debería poder ver que la contraseña se transmite a través de texto sin cifrar.

Suponiendo, por el bien del argumento, que no hay exploits en AWS, ¿qué tan posible es escuchar la comunicación a la instancia de la base de datos, o incluso MITM?

Cuando ejecuta su propio centro de datos físico, puede estar relativamente seguro de que sus datos no serán rastreados internamente, pero ¿cómo el alojamiento en la nube modifica este enfoque? Me imagino que los niveles de confianza son mucho más bajos.

    
pregunta glitch 09.07.2013 - 23:30
fuente

1 respuesta

17

Amazon afirma que AWS VPC está "lógicamente aislada" de las otras instancias de AWS y de Internet. "Lógicamente" significa que se realiza en software, no con un sistema de hardware dedicado. Se puede conectar un AWS VPC a su VPN y usará IPsec para esa conexión externa, pero esto no significa que < em> internamente se utiliza IPsec. De hecho, la forma en que realmente se aplica el "aislamiento" no está documentada, por lo que es una gran incógnita.

Suponiendo que Amazon no es hostil para usted (en cuyo caso usted estaría condenado de todos modos), y que además hacen su trabajo correctamente, entonces sus comunicaciones entre sus sistemas deberían estar a salvo de escuchas ilegales o intercepción por parte de terceros. Sin embargo, puede arruinarlo si sus servidores se hacen referencia entre sí por nombre y deja que su DNS Ser envenenado externamente. Le sugiero que use archivos /etc/hosts explícitos para que sus servidores no estén convencidos de usar direcciones IP incorrectas, lo que permite que los datos se escapen a Internet salvaje.

El uso de SSL de todos modos le facilitaría las cosas si en el futuro decide migrar sus servidores a algún otro proveedor de la nube, o si deja de ser tan confiable en la competencia de Amazon contra los ataques a la red. Después de todo, se sabe que la seguridad de TI es difícil.

    
respondido por el Tom Leek 10.07.2013 - 00:46
fuente

Lea otras preguntas en las etiquetas

Aislamiento del cliente inalámbrico: ¿cómo funciona y cómo se puede omitir? ¿El funcionamiento interno de la seguridad de iMessage?