우리는 현재 우리 환경에서 SSL 트래픽을 가장 잘 수행하는 방법을 결정하려고 노력하고 있습니다. 우리는 모든 트래픽을 우리 환경으로 보내는 역할을 담당하는 외부 지향 Apache 프록시 서버를 보유하고 있습니다. 또한 대부분의 서버에 대해 SSL 작업을 수행하고 있습니다.
특히 자체 SSL을 수행하는 하나 또는 두 개의 IIS 서버가 있지만 프록시 뒤에도 있습니다.
프록시에 대한 SSL이 충분히 좋은지 궁금합니다. 이는 우리 네트워크 내의 트래픽을 식별할 수 있다는 것을 의미하지만 그것이 그렇게 큰 문제입니까?
답변1
교통 상황에 따라 다릅니다. 트래픽이 프록시에 대한 SSL을 보증할 만큼 민감한 경우에는 주의를 기울여 SSL 연결을 종단 간 유지 관리합니다. 신용 카드 거래와 같은 정보를 처리하는 경우 선택의 여지가 없습니다.
네트워크 내의 호스트가 손상되면 트래픽이 스니핑되어 캡처될 가능성이 있습니다. 마찬가지로 위험 수준은 전송되는 정보에 따라 달라집니다. 종단 간 SSL 배포에 수반되는 추가 오버헤드 및 복잡성과 비교하여 위험을 평가하십시오.
답변2
@sdanelson에 동의합니다. 그러나 이 내용을 올바르게 읽고 있다면 SSL/TLS 트랜잭션이 방화벽을 통과하여 클라이언트의 SSL 트래픽 대상이 되도록 할 것입니다. 그런 다음 요청을 내부 시스템으로 전달하거나 프록시합니다. 이는 다음을 줄이는 데 도움이 될 것입니다.중간자 공격.