pregunta general sobre canales seguros e implementaciones

1
  1. En el mundo moderno de CPU rápidas y grandes bloques de memoria, ¿debemos usar canales encriptados TLS fuera del paradigma del navegador / servidor? Uno de los ejemplos sería establecer una conexión TLS a través de micro servicios internos. Por ejemplo, ¿dos microservicios dentro de la misma subred AWS VPC? ¿O las políticas generales de enrutamiento son suficientes para garantizar la seguridad?
  2. ¿Por qué se requiere la terminación TSL / SSL? ¿Hay alguna razón de su existencia además de ser compatible con software HTTP puro, como Varnish?

Descargo de responsabilidad: tenga en cuenta que no tengo absolutamente ningún conocimiento sobre infraestructuras seguras y su protección, por lo que se agradecen las explicaciones en términos sencillos.

    
pregunta Yerken 10.11.2016 - 15:15
fuente

1 respuesta

3
  1. La práctica actual asume que las políticas de enrutamiento generales son suficientes. Esto se debe principalmente a la facilidad de uso de Ops (configuración de tráfico basada en contenido, detección automatizada de intrusos, etc., más fácil que nada en el tráfico no cifrado). No es una suposición MALA: si alguien posee una máquina suficiente para tener acceso al rastreo de tráfico, probablemente podría acceder a los certificados ssl para esa máquina. Significa que las cosas están menos contenidas de lo que podrían ser. Es una decisión de gestión de riesgos: ¿agrega seguridad y ralentiza el equipo de operaciones? O ve un poco más abierto y haz su vida más fácil.

  2. Una ventaja de la terminación SSL / TLS en la frontera y HTTP internamente es un acceso más fácil al contenido para la detección de intrusos. También es mucho más fácil tener SSL en un solo lugar, en lugar de tener que garantizar las confianzas utilizando certificados comodín (si se usa una CA externa) o certificados autofirmados para los hosts individuales (si se usa una CA interna con firma propia) . Se hace más difícil hacer TLS internamente con la escala: los hosts aparecen y desaparecen. Claro es más fácil. Nuevamente, esto es un intercambio: debe tomar una decisión para su entorno, su contenido, su necesidad de escalar y cambios rápidos, su equipo de operaciones.

respondido por el crovers 10.11.2016 - 17:02
fuente

Lea otras preguntas en las etiquetas