您是否應該在雲中的兩台伺服器之間加密數據?
如果我有多個 AWS EC2 和 Azure 實例在不同的區域執行。我正在使用 rabbitmq 在它們之間交換消息。我應該擔心添加 TLS 並加密這些連接嗎?
換句話說,如果伺服器 A 在 AWS us-east 上,而伺服器 B 在天藍色,如果他們在沒有加密的情況下交換資訊會有多糟糕?只有網際網路服務提供商和亞馬遜/微軟才能看到未加密的數據是否正確?
我顯然會加密任何與客戶打交道的東西。我只是對 2 個後端伺服器互相交談感到好奇。
編輯
謝謝你們的幫助。我知道如何加密連接以及如何設置 VPN。對不起,我錯誤地表達了這個問題。
我只是想知道誰能看到這些伺服器之間的流量。為什麼會有風險?我知道這將是有風險的,我相信你哈哈。我只是想知道為什麼。另外,生成我自己的 ssl 證書並在每台伺服器上信任它會有多糟糕。
您是否應該在雲中的兩台伺服器之間加密數據?
是的。
現代安全思想是,您不認為自己的網路/數據中心更受信任(比您的 WAN 或正常網際網路)。
傳統上,在您自己的網路的*“安全”*範圍內,數據中心允許更寬鬆的安全標準。內部系統和使用者都將受到信任,隱含地期望它們是安全的,絕不會濫用或惡意。一個只添加了例如 TLS 用於跨越“安全”內部網路的邊界和邊界的連接。
如今越來越流行的安全概念是***“零信任”***之一,它摒棄了安全可信的內部網路/系統/使用者的概念,並在任何地方都應用同樣嚴格的安全級別。
因此,對於兩個相互交換資訊的後端伺服器:
- 伺服器及其所有服務都應配置 TLS 證書(用於伺服器身份驗證和傳輸加密)
- 他們的通信應該加密
- 客戶端應該對服務進行身份驗證(使用使用者名密碼、令牌、客戶端證書或任何合適的)
- 您的應用程序/(微)服務仍應進行輸入驗證,並且不相信來自內部客戶端/後端系統的輸入始終正確且可以安全地逐字使用。
- 等等
- 等等
回應您的編輯
我只是想知道誰能看到這些伺服器之間的流量
除非亞馬遜和微軟擁有自己的物理數據中心互連,否則 AWS 和 Azure 雲之間的流量將通過公共網際網路路由和/或傳輸由第三方運營的一個或多個網段。由於路由協議和網際網路的工作方式,您的流量所採用的確切路徑以及可能隨時更改的第三方。
當您不設置傳輸加密時,流量將以明文形式顯示,任何有權訪問任何段的人都可以輕鬆竊聽。