Проверка сквозного шифрования в контейнерах AWS ECS FARGATE

Как проверить, защищено ли сквозное шифрование в моем контейнере AWS FARGATE? Упомянули о подходе ниже:

Балансировщик нагрузки приложений прослушивает 443. Использует сертификат от AWS Certificate Manager. Протокол целевой группы - HTTPS на порту 8443. Протокол проверки работоспособности тоже HTTPS. Образ докера приложения загрузки Spring, работающий в контейнере, порт хоста / контейнера - 8443. Иметь такой же сертификат в пути к классам приложения в файле PKCS12 (в нем есть сертификат и закрытый ключ). Порт для образа Docker и приложения - 8443.

Он говорит о безопасном соединении, когда я нажимаю URL-адрес приложения. Я понимаю, что разгрузка SSL происходит на уровне балансировщика нагрузки в ALB. Но означает ли вышеупомянутый подход сквозное шифрование? И как мне это проверить?


amazon-web-services https amazon-ecs aws-fargate aws-elb
person yaja6021    schedule 15.08.2018    source источник

Ответы (1)


arrow_upward
6
arrow_downward

Я понимаю, что разгрузка SSL происходит на уровне балансировщика нагрузки в ALB.

Разгрузка SSL - это опция с ALB, если у вас есть целевые группы, использующие протокол HTTP вместо HTTPS. Разгрузка подразумевает, что вы завершаете SSL на балансировщике нагрузки, а затем используете http между ALB и целью, что с вами не происходит.

Но означает ли вышеупомянутый подход сквозное шифрование?

Если вы используете целевую группу HTTPS, как вы это делаете, у вас должно быть сквозное шифрование. У вас есть правильная идея проверить, так что вы можете быть уверены.

И как мне это проверить?

Вы можете гарантировать, что трафик к вашему ALB использует SSL, включив доступ к журналам. Вы также видите SSL в своем браузере.

Вы можете проверить, получают ли цели SSL-трафик, запустив что-то вроде tcpdump или ssldump (или оба!) на целевом веб-сервере.

person bluescores    schedule 16.08.2018
comment
Привет, большое спасибо! Есть ли какое-нибудь руководство по запуску tcpdump / windump для целевой группы AWS ECS? Любые указатели будут очень признательны. - person yaja6021; 16.08.2018
comment
iirc вы можете запустить tcpdump в своем контейнере что-то вроде tcpdump -A -i <network_interface> port 8443 -w log.pcap, чтобы записать информацию о пакете трафика на порт 8443 в файл. Если вы посмотрите на этот файл, вы увидите, что пакеты - тарабарщина, зашифрованы. Затем вы можете использовать ssldump с флагом -r, чтобы загрузить файл pcap и расшифровать эти пакеты. В данный момент я использую мобильный телефон, я не могу привести более полный пример по памяти, но в этом суть того, как я проверял это в прошлом. - person bluescores; 16.08.2018