CloudFront 和 EC2 之間的路徑通過 HTTP 是否安全?
我設置了 CloudFront 分配,使用者通過 CloudFront 分配連接到我的域,它確定他們的請求是發送到我的 S3 儲存桶還是我的 EC2 實例。
在這種情況下,使用者與 CloudFront 之間的連接是 HTTPS,並且瀏覽器中有綠色掛鎖。
我擔心的是 CloudFront 和 EC2 之間的連接現在通過 HTTP。我嘗試將源策略更改為 HTTPS,但它似乎不起作用。
我不需要負載平衡器,因為它只是一台伺服器。
我也不認為我可以在我的 EC2 伺服器上安裝 CloudFront 證書,因為我無權訪問 CloudFront 證書的私鑰。
我也不能在我的 EC2 實例上使用 LetsEncrypt 證書,因為它需要一個域名,而我的 EC2 實例只是一個 IP 地址。
現在一切正常,但我只是擔心它不安全。如果有人在我的網站上輸入密碼怎麼辦?難道不是只有在從使用者發送到 CloudFront 分配時才被加密,然後在 CloudFront 和 EC2 之間通過 Internet 傳輸時它會是未加密的並且是純文字的?這不能被中間人記錄下來嗎?
有沒有辦法解決這個問題,或者這不是問題?我有點困惑,因為我看到幾個人說在 CloudFront 和您的 EC2 實例之間使用 HTTP 源策略很好,但我不確定這是怎麼回事。
有很多方面可以回答這個問題。
- CloudFront 終端節點部署在流量進入 AWS 全球基礎設施的所謂*邊緣位置。*CloudFront 和您的 EC2 之間的任何流量只能通過 AWS 基礎設施進行路由,而不是通過任何第三方運營商。
更新:AWS 全球基礎設施頁面顯示:流經與我們的數據中心和區域互連的 AWS 全球網路的所有數據在離開我們的安全設施之前都會在物理層自動加密。即,即使某些互連實際上正在穿越第 3 方網路,它們也始終是加密的,因此該第 3 方運營商永遠不會看到您的明文 HTTP。 2. 您已經信任 AWS 與您的數據 - 您執行您的 EC2、管理 CloudFront 的 SSL 證書等,因此在同一級別您可能也信任他們的網路。我想說的是,在 AWS 中窺探純文字流量的風險非常低,儘管並非不存在。 3. 您可以在 EC2 上創建自簽名 SSL 證書,CloudFront 很樂意接受它們以到達您的 EC2 源。這樣你就可以一直使用 HTTPS。此自簽名證書將僅用於CF <-> EC2 流量,而不用於您的User <-> CF 流量,因此不會出現無效證書警告問題。
希望有幫助:)