在有数千个Web服务的情况下,是否有理由为每个微服务使用已签名的证书,或者只是增加开销?服务通过位于防火墙后面的VPC进行通信,而公共端点位于面向有效CA证书的nginx公共后面.
服务在aws上的多个服务器上.
从我有限的经验来看,我认为这是过度的.如果攻击者有权收听您的内部网络或与您的内部网络进行交互,那么您很可能会遇到其他问题.
auth0.com上的这篇文章解释了仅在与外部客户端的连接上使用SSL.我也分享这个观点,并且相信在单个服务级别实施SSL会变得非常困难,除非你在每个单独的主机上运行某种形式的代理,如HAProxy或Nginx,这是次优的,特别是如果你使用的形式管理集群,如Kubernetes或Docker Swarm.
我目前的想法是,只为您的边缘服务运行SSL,确保您使用类似Scout2的东西锁定您的AWS网络并运行未加密的LAN上的服务间通信.
京公网安备 11010802040832号 | 京ICP备19059560号-6 