web-dev-qa-db-ja.com

AWS VPC-インスタンス間の接続はSSLを介する必要がありますか?

AWS VPCネットワークにいくつかのEC2インスタンスがあり、それぞれが作成時にサブネットに独自のプライベートアドレスを割り当てたとします。たとえば、1つはDBで、もう1つはDBと通信するある種のWebアプリだとします。 DBは、そのサブネット上のIPの特定のセグメントのみを許可することを確認します。

このサブネットワーク内の通信がSSLで暗号化されていることはどれほど重要ですか?盗聴が発生した場合、パスワードがクリアテキストで送信されるのを確認できるはずです。

議論のために、AWSにエクスプロイトが存在しないと仮定すると、データベースインスタンスへの通信を盗聴したり、それをMITMに盗聴したりすることはどのように可能ですか?

独自の物理データセンターを運用している場合、データが内部でスヌーピングされないことを比較的確信できますが、クラウドホスティングはこのアプローチをどのように変更しますか?信頼レベルはずっと低いと思います。

27
glitch

Amazonは、 AWS VPC は他のAWSインスタンスおよびインターネットから「論理的に分離」されていると主張しています。 「論理的に」とは、専用のハードウェアシステムではなく、ソフトウェアで行われることを意味します。 AWS VPCはVPNに接続でき、その外部接続に IPsec を使用しますが、これはinternallyIPsecが使用されることを意味するものではありません。実際、「分離」が実際にどのように実施されるかは文書化されていないため、それは大きな未知数です。

仮定アマゾンはあなたに対して敵対的ではない(その場合、とにかくあなたは運命を破られるでしょう)、そして彼らはさらに彼らの仕事を適切に行い、そしてあなたの間のコミュニケーションはあなたのシステムは第三者による盗聴や傍受から安全である必要があります。ただし、サーバーがnameで相互に参照し、内部 [〜#〜] dns [〜#〜] 外的に毒された。明示的な/etc/hostsファイルを使用することをお勧めします。これにより、サーバーが誤ったIPアドレスを使用して、データがワイルドインターネットにエスケープされるのを防ぐことができます。

とにかくSSLを使用すると、将来的にサーバーを他のクラウドプロバイダーに移行することを決定した場合や、ネットワーク攻撃に対するAmazonの能力に非常に信頼しなくなった場合に、状況が簡単になります。結局のところ、ITセキュリティは難しいことが知られています。

22
Tom Leek