use*_*645 3 amazon-ec2 amazon-elb
例如,假设我有一个 ec2 实例和一个弹性负载均衡器,在负载均衡器接收 HTTPS 流量并将其(未加密)转发到实例是否安全。
我启用了最小的安全组权限集以允许负载均衡器与实例通信,但是,我不清楚这些权限是在 VM 级别还是在网络级别应用。如果只是在 VM 级别,那么子网上的其他实例大概可以嗅探未加密的网络流量。
Nat*_*n C 11
这就是 VPC 的用途。您可以在自己的子网上隔离您的实例,访问它的唯一方法是其内部 IP 地址。在此处阅读:http : //aws.amazon.com/vpc/
您的流量应该是安全的,因为只有针对您的实例的流量才会发送给它。但是,如果它是敏感数据,您可能希望将其一直加密到实例。
来自https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf(位于https://aws.amazon.com/whitepapers/):
其他租户的数据包嗅探:以混杂模式运行的虚拟实例不可能接收或“嗅探”用于不同虚拟实例的流量。虽然客户可以将他们的接口置于混杂模式,但虚拟机管理程序不会向他们提供任何不是针对他们的流量。这包括由同一客户拥有的两个虚拟实例,即使它们位于同一物理主机上。诸如 ARP 缓存中毒之类的攻击在 EC2 中不起作用。虽然 Amazon EC2 确实提供了足够的保护,防止一个客户无意或恶意地尝试查看另一个客户的数据,但作为标准做法,客户应该加密敏感流量。
| 归档时间: |
|
| 查看次数: |
1090 次 |
| 最近记录: |