現在、弊社の環境で SSL トラフィックを実行する最善の方法を決定しようとしています。弊社には外部向けの Apache プロキシ サーバーがあり、すべてのトラフィックを弊社の環境に転送する役割を担っています。また、このサーバーは大半のサーバーに対して SSL 処理も行っています。
特に、独自の SSL を実行している IIS サーバーが 1 つまたは 2 つありますが、それらもプロキシの背後にあります。
プロキシへの SSL は十分なのでしょうか? SSL はネットワーク内のトラフィックを識別できることを意味しますが、それはそれほど大きな問題でしょうか?
答え1
それはトラフィックによって異なります。トラフィックがプロキシへの SSL を必要とするほど機密性が高い場合は、慎重になり、エンドツーエンドで SSL 接続を維持します。クレジットカード取引などの情報を扱っている場合は、選択の余地はありません。
ネットワーク内のホストが侵害された場合、トラフィックが盗聴され、キャプチャされる可能性があります。この場合も、リスクのレベルは送信される情報によって異なります。エンドツーエンド SSL の導入に伴う追加のオーバーヘッドと複雑さとリスクを比較検討してください。
答え2
@sdanelson に同意します。しかし、私がこれを正しく理解しているなら、SSL/TLS トランザクションがファイアウォールを通過し、クライアントからの SSL トラフィックの宛先をファイアウォールにすることを保証する必要があります。その後、リクエストを内部システムに転送またはプロキシします。これにより、中間者攻撃。