TLS 提供了一种在不受信任的多跳网络中信任两个来源内容的绝佳方式。但是,对于 VPC 和网络命名空间,在我看来,TLS 实际上并没有提供任何网络本身固有的安全性。话虽如此,我已经看到几篇帖子(例如 [1])暗示人们启用这种通信很重要。
这篇文章并非试图挑战 TLS,而是询问,我们如何知道何时真正需要它?
是否有一个层次化的框架来决定什么时候TLS 根据(1)安全需求(2)加密质量(3)机器隔离提供增强的安全性,在决定安全协议时可以使用哪些?
[1]https://stackoverflow.com/questions/44559754/secure-traffic-between-pods-in-cluster
答案1
在任何地方使用 TLS 的原因:
TLS 不再像以前那样对性能有影响。所以这不是不使用它的借口。是的,初始连接设置需要成本,尤其是对于网页浏览,这会带来(微小的)初始延迟,但在内部网络上并不明显。
某些软件(尤其是网络浏览器)在 TLS 下运行效果更好,并且某些特征(例如位置服务、HTTP/2...等)仅在与 TLS 一起使用时才有效,并且将有更多人加入此名单。因此,TLS 绝对应该在内部网站和开发环境中使用。此外,浏览器不会区分内部网站和互联网网站,将针对非 HTTPS 网站添加越来越多的警告。您不会想养成告诉用户忽略内部站点的那些警告的习惯!
在这个现代的互联世界中,没有所谓的“安全网络”——只有不同程度的不安全。如果恶意软件进入安全网络(无论是意外还是恶意!),那么它可能会嗅探网络流量并读取密码等,这会使您的系统以及其他人(不管人们是否喜欢)面临风险做重复使用密码)。
不使用 TLS 的原因:
说我不相信绝对的东西,而且有理由不使用它。
首先,它确实有成本——特别是在设置和管理方面。人们可以随心所欲地谈论 LetsEncrypt 和内部 CA——顺便说一下,这两者都是很好的东西,而且强烈推荐——但 TLS 证书过期的本质以及设置它们的复杂性(尤其是使用 Java 密钥库!)意味着使用 TLS 是有成本的。获取证书可能是手动的,因为 LetsEncrypt 通常不是内部服务器的选项,而且根据我的经验,通常没有用于自动从内部 CA 颁发证书的工具集(请提供 ACME 支持!),然后识别任何内部 CA 都需要付出努力。
如果私钥没有妥善保管,TLS 就会失去其价值!因此,获得一个通配符证书来解决上面讨论的颁发问题,并在任何地方使用它,并使私钥相对自由地可用以允许使用它,这有点违背了目的。所以回到颁发问题。
它还需要管理配置:既要适当配置,也要管理配置。不安全的协议(例如 SSLv3 甚至现在的 TLSv1.0)应该关闭,不安全的密码也应关闭。除此之外,还要保持库的更新,以允许安全配置和新协议/密码继续使用。了解所有设置是什么以及应该使用什么是一项专业工作!即使您知道这一点,实际上在许多不同的软件和基础设施上配置它也可能很困难。
许多 Web 设置仍在 Web 服务器(例如 Apache、Nginx)中使用 TLS 卸载,然后将未加密的 HTTP 代理到后端应用服务器(如 Tomcat、Wildfly、NodeJS 等),以简化 TLS 的管理。这是安全网络中完全有效的模型(尽管请参见上文关于该术语的要点!)。尤其是当 Web 服务器和应用服务器位于同一主机上(因此网络流量不会离开服务器)或在隔离的网络区域(例如 DMZ 或 VPC)内时。
结论
对我来说,下一步应该是先使用 TLS,然后想出一个不使用的好理由,而不是反过来(而且“这需要付出努力”不应该被接受为一个有效的理由)。但是,如果你能证明为什么不使用它(例如上面最后一段中的例子),并为此做出了有意识的决定,而你(任何其他利益相关者!)对此感到满意,那么这可能是正确和合适的。当然,这不会像使用 TLS 那样安全,但这只是说这不是正确的选择。
答案2
始终拥有多层安全保护是个好主意。你永远不知道什么时候或是否会突然出现一个漏洞,让你突然变得脆弱。除非 TLS 的开销是你无法承受的,否则如果信息安全是一个问题并且你有选择,我真的想不出选择非 TLS 的好理由。
答案3
我还没有看到太多证据表明 TLS 是一项昂贵的操作,而且说实话,很多事情都对它有所期待,因此你可能会很难在全球范围内或仅在内部禁用它。
除此之外,虽然您可以说您的网络非常安全,但总会有漏洞。如果您可以采取措施防止不可预见的事件产生影响,那么您应该这样做。TLS 可能就是那个步骤,但在这种情况下谁知道呢。
总而言之,我认为无论您身在何处,TLS 都很重要,而且我认为您尝试禁用它所花费的工作会造成比它本身更大的麻烦。正如 guzzijason 所说,您不知道您不知道什么。