SSLオフロード

Question

我々は、次のAWSインフラストラクチャを使用します。

Route53-> CloundFront - > Elasticbeanstalk（+ロードバランサ= ELB） - > EC2インスタンスを

今、私たちは、CloudFrontの上に設定SSL証明書を持っていますELBレベルで同じものを使用し、CFとELBの間でエンドツーエンドの暗号化を提供します。 AWS CFと原点の間のEnd2Endは、ベストプラクティスhereとして説明されています。

これは、このpictureのFull SSL（厳密）を指します（これはCloudFlareスタック用ですが、これは決して気にならないほど優れています）。私たちはAWS CFレベルでSSLをオフロードして、図に示すようにCFからELBへのFlexible SSLへのラウンドトリップを避けたいと考えています。

CFレベルでSSLをオフロードすることをお勧めしますか？ CFレベル後にend2end暗号化を落とす価値のあるパフォーマンス改善はありますか？

何らかのAWS CFからの接続のみを受け入れるようにELBを制限することはできますか？

さらに、ELB SSL performanceに関するパフォーマンス上の懸念があります（これはうまくいくと思われますが、まだ懸念があります）。一般に、AWS CFがSSL復号化作業でELBよりも優れたパフォーマンスを発揮している場合は、それも面白いです。

Answer 1

アプリケーションの要件とコンプライアンスの要件に基づいて、SSLでCFをオフラインにします。

通常、すべてのエンティティがCF経由でアプリケーションにアクセスする場合（たとえば、一部のクライアントからバックエンドVPCへのVPN接続がない場合）、CFでのオフロードで十分です。両方でSSLを使用した場合のパフォーマンスの違いは重要ではありません。

CFからELBへのインバウンドのみを許可するには、現時点で利用可能な直接的なアプローチはありません。可能なアプローチの1つは、ラムダ関数を使用してELBのセキュリティグループを更新し、AWSから提供されたCF IP範囲からJSON URLを取得することです。

また、ELBには各AZ（通常2または3）のサーバーがある間に、エッジ位置で動作するサーバーが多数存在するため、CFでのSSLオフロードはELBに比べて高速です。