如果我有多个 AWS EC2 和 azure 实例在不同的区域运行。我正在使用rabbitmq 在它们之间交换消息。我是否应该担心添加 TLS 并加密这些连接?
换句话说,如果服务器 A 位于 AWS us-east 上,服务器 B 位于 azure 上,如果它们在未加密的情况下交换信息,情况会有多糟糕?只有互联网服务提供商和亚马逊/微软才能看到未加密的数据是否正确?
显然我会对与客户打交道的任何内容进行加密。我只是好奇两台后端服务器相互通信。
谢谢你们的帮助。我知道如何加密连接以及如何设置 VPN。抱歉,我错误地表达了这个问题。
我只是想知道谁能够看到这些服务器之间的流量。为什么会有风险呢?我知道这会有风险,我相信你,哈哈。我只是想知道为什么。另外,生成我自己的 ssl 证书并在每台服务器上信任它会有多糟糕。
diy*_*iya 25
您应该加密云中两台服务器之间的数据吗?
现代安全思维是,您不认为自己的网络/数据中心(比您的 WAN 或常规互联网)更值得信赖。
传统上,在您自己网络的“安全”范围内,数据中心将允许采用更宽松的安全标准。内部系统和用户都将受到信任,隐含地期望它们是安全的,并且绝不会滥用或恶意。例如,仅添加了 TLS,用于跨越“安全”内部网络的周边和边界的连接。
如今越来越流行的安全概念是“零信任”之一,它放弃了安全可信的内部网络/系统/用户的概念,并在任何地方应用相同严格的安全级别。
因此,对于两个相互交换信息的后端服务器:
回应您的编辑
我只是想知道谁能够看到这些服务器之间的流量
(例如,服务器 A 位于 AWS us-east 上,服务器 B 位于 Azure 中)
除非 Amazon 和 Microsoft 拥有自己的物理数据中心互连,否则 AWS 和 Azure 云之间的流量将通过公共互联网进行路由和/或传输由第三方运营的一个或多个网段。由于路由协议和互联网的工作方式,您的流量所采用的确切路径以及第三方可能随时发生变化。
当您未设置传输加密时,流量将采用明文形式,任何有权访问任何段的人都可以轻松窃听。
根据利害关系,人们无法将端到端物理可见的物理网络标记为“可信”。
对于视力一般的人来说,这相当于一张桌子上两台计算机之间的一根电缆。
从某种意义上说,如果你操作、管理和物理控制一个网络,你就可以给它贴上“可信”的标签。
互联网不仅由多方拥有、控制和运营。人们甚至无法确定数据包今天在 A 点和 B 点之间所走的路径明天是否会相同。
同一城市的两个不同数据中心之间的数据包可以路由穿过另一个大陆。即使这些数据中心之间有专用的直接连接,这种情况也可能发生。直接连接可能会以多种方式失败或受到损害,并且连接将通过其他方式维持。
然后,还有诸如https://en.wikipedia.org/wiki/BGP_hijacking之类的攻击——一种将感兴趣的流量路由到攻击者控制的设备的攻击。
| 归档时间: |
|
| 查看次数: |
3498 次 |
| 最近记录: |