9、利用 AWS 服务管理和保护服务器及内容分发

利用 AWS 服务管理和保护服务器及内容分发

1. ELB 流量内容加密安全

当应用程序需要控制 ELB 上的加密设置时，可使用负载均衡器安全策略。该策略控制着可与负载均衡器一起使用的加密和认证机制，决定客户端如何连接到 ELB 以及如何建立安全的 HTTPS 会话。我们既可以使用内置的安全策略，也能创建自定义策略。AWS 还准备了符合 PCI DSS 等安全标准的安全策略，这些标准要求仅使用特定的安全密码套件和加密协议。

根据 SSL Labs 的 SSL Pulse 每月对全球 15 万个最受欢迎网站的调查，仍有很多网站支持旧的、不安全的 SSL 和早期 TLS 协议。数据显示，虽然超过 90% 的网站支持 TLS 1.2，但仍有 80% 支持 TLS 1.1，超过 70% 支持 TLS 1.0。TLS 1.1 仍被认为有一定安全性，但 TLS 1.0 因易受 BEAST、POODLE 和 DROWN 等攻击而被视为不安全。令人担忧的是，全球最受欢迎的网站中，近 10% 仍支持 SSL v3，近 3% 仍支持 SSL v2，这两种协议在现代应用中被认为完全不足以提供保护。不过，TLS 1.3 正在被采用，约 10% 的网站支持该协议。

我们还可以控制目标连接配置，既可以让负载均衡器终止 SSL 连接，将加密任务从目标服务器卸载，也可以选择通过安全通道连接到目标服务器。当需要端到端加密时，我们需要将目标服务器配置为安全服务器。端到端加密越来越成为企业和现代应用中多种不同安全标准和合规政策的要求。

例如，支付网关服务在云环境中运行时，需要符合 PCI DSS 标准。目前生效的标准是 PCI DSS 3.2，该标准规定了 SSL 连接，仅允许使用带有强密码套件的