假设我在 AWS VPC 网络中有几个 EC2 实例,每个实例在创建时都为子网分配了自己的私有地址。假设其中一个是数据库,另一个是某种与数据库对话的网络应用程序。数据库确保仅授权该子网上的特定 IP 段。
使用 SSL 加密此子网内的通信有多重要?如果发生窃听,那么您应该能够看到密码通过明文传输。
假设,为了争论,AWS 中没有漏洞,那么窃听与数据库实例的通信,甚至 MITM 的可能性有多大?
当您运行自己的物理数据中心时,您可以相对确信您的数据不会在内部被窥探,但是云托管如何改变这种方法呢?我想信任水平要低得多。
亚马逊声称AWS VPC与其他 AWS 实例和互联网“逻辑隔离”。“逻辑上”意味着它是在软件中完成的,而不是使用专用的硬件系统。AWS VPC 可以连接到您的 VPN,并且它将使用IPsec进行该外部连接,但这并不意味着使用内部IPsec。事实上,如何真正实施“隔离”并没有记录,所以这是一个很大的未知数。
假设亚马逊对您没有敌意(在这种情况下,无论如何您都将注定失败),并且他们还可以正常工作,那么您系统之间的通信应该不会被第三方窃听或拦截。但是,如果您的服务器通过名称相互引用并且您让您的内部DNS被外部毒害,您可能会搞砸它。我建议您使用显式/etc/hosts文件,这样您的服务器就不会被说服使用错误的 IP 地址,从而让数据逃逸到 Wild Internet。
如果您将来决定将服务器迁移到其他云提供商,或者您不再信任亚马逊抵御网络攻击的能力,那么无论如何使用 SSL 都会使事情变得更容易。毕竟,众所周知,IT 安全很难。