2017-10-26 11 views
0

インターネット - > Cloudfront - > ELB - >インスタンスCloudfrontはELBとどのように通信しますか?

CloudfrontからELBへのトラフィックを暗号化する必要がありますか? AWSはトラフィックを内部的に転送しますか、https経由で配信されない場合、中間者攻撃に脆弱な通常の公開要求ですか?

答えて

1

Q)CloudFrontからELBへのトラフィックを暗号化する必要がありますか?

A)いいえ、暗号化する必要はありませんが、そうする必要があります。今日の傾向は、優先プロトコルとしてHTTPSトラフィックに急速に移行しています。 CloudFront < - > ELB < - > EC2を設定すると、CloudFrontがHTTPをHTTPSにリダイレクトするように設定しました.ELBとSSL間のトラフィックはELBとEC2の間のトラフィックが通常のHTTPになります。 EC2インスタンスは、パブリックIPアドレスのないプライベートサブネットに配置されています。

Q)AWSはトラフィックを内部的に転送するのですか、またはhttps経由で配信されないと中間者攻撃に脆弱な通常のパブリックリクエストですか?

A)CloudFrontの起点はAWSクレデンシャルでのみ設定可能です。この場合、起点はロードバランサになります。 CloudFrontとRoute 53 DNSサーバーによって管理されるAmazon Load Balancer間のトラフィックを傍受することは、Amazonのネットワークの外では困難です。しかし、CloudFrontとAmazon Load Balancerの間でネットワークトラフィックがどのようにルーティングされるかに関する参考資料は見つかりませんでした。

+0

これは私が今行ったことです。確認していただきありがとうございます。また、次の2つの情報源が見つかりました:https://stackoverflow.com/a/35157859/1252307およびhttp://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin。 html – kev

+1

*「CloudFrontの起源はAWSクレデンシャルでのみ設定可能です」*これは正確にはわかりませんが、あなたの意図によっては必ずしも正確ではありません。私は寝室にCloudFrontの起点サーバーとして設定されているWebサーバーを持っています。何もCloudFrontの原点になることができますが、CloudFront-ELBのトラフィックは通常、AWSが所有し管理するグローバルなIPネットワークを経由します。しかし、私はリンクの停止条件が例外である可能性があると信じています。 –

+0

私は、発信元がロードバランサだと言いました。つまり、DNSサーバーがRoute 53であるためDNS名を変更できないという追加点で、通信を傍受することは不可能ではないにしても非常に困難です。 Amazon Credentialがなければ、途中に人を挿入するためにCloudFront(またはRoute 53)を変更できませんでした。 CloudFrontとAmazon Load Balancer間のすべてのトラフィックはAmazonのプライベートネットワーク内にあるとも言いたいと思っていましたが、私はこれをバックアップするための参照を見つけることができませんでした。 –

関連する問題