Настройка SSL для веб-серверов может быть сложной, и в зависимости от конфигурации Вашего сервера можно использовать различные методы. Одним из таких вариантов является SSL/TLS Passthrough, который позволяет обойти необходимость расшифровки и повторного шифрования данных на сервере-посреднике, сохраняя сквозное шифрование.
В этой статье мы рассмотрим SSL Passthrough, его преимущества, недостатки и отличия от других конфигураций SSL, а также дадим четкое представление о его роли в защите веб-соединений.
Оглавление
- Что такое SSL Passthrough?
- Как работает SSL Passthrough?
- Преимущества SSL Passthrough
- Недостатки SSL Passthrough
- Как настроить SSL Passthrough?
- SSL Passthrough против SSL Offloading
- SSL Passthrough против SSL Termination
- SSL Bridging vs SSL Passthrough
Что такое SSL Passthrough?
SSL Passthrough – это сетевая конфигурация, которая обеспечивает сквозную безопасность, перенаправляя зашифрованный трафик непосредственно от клиента к внутреннему серверу через балансировщик нагрузки или прокси-сервер. В отличие от SSL-терминирования, которое предполагает расшифровку трафика на балансировщике нагрузки, SSL Passthrough сохраняет конфиденциальность и целостность конфиденциальных данных без расшифровки на уровне распределителя трафика.
Если Вы не знакомы с балансировщиками нагрузки, то это устройства или программное обеспечение, равномерно распределяющее входящий сетевой трафик между несколькими внутренними серверами в публичной или частной сети, чтобы обеспечить эффективное использование ресурсов и предотвратить перегрузку какого-либо одного сервера.
Как работает SSL Passthrough?
SSL passthrough включает в себя следующие шаги:
- Клиент отправляет запрос: Клиент (например, веб-браузер) посылает запрос на доступ к веб-сайту.
- Прокси-сервер получает запрос: Запрос перехватывается прокси-сервером или балансировщиком нагрузки, который выступает в роли посредника.
- Определение безопасного соединения: Прокси-сервер распознает необходимость HTTPS (Hypertext Transfer Protocol Secure) соединения, на что указывают SSL-сертификаты.
- Установление SSL-соединения: Прокси-сервер инициирует SSL-соединение с клиентом без расшифровки данных.
- Пересылка запроса: Сервер-посредник пересылает зашифрованный запрос клиента на веб-сервер.
- Веб-сервер обрабатывает запрос: Веб-сервер получает и обрабатывает запрос, генерируя ответ.
- Ответ отправляется на прокси-сервер: Сервер отправляет ответ обратно на сервер-посредник.
- Пересылка ответа: Прокси-сервер пересылает зашифрованный ответ клиенту через указанное SSL-соединение.
- Клиент получает ответ: Клиент получает и обрабатывает зашифрованный ответ, завершая общение.
Прокси-сервер или балансировщик нагрузки обрабатывает зашифрованный HTTP-трафик между клиентом и веб-сервером, не расшифровывая данные. Такой подход обеспечивает конфиденциальность и целостность данных на протяжении всей коммуникации без дополнительной расшифровки и проверки.
Преимущества SSL Passthrough
Преимущества SSL Passthrough включают в себя повышенную безопасность данных, улучшенную производительность веб-сайта и удобство работы с ним. Он также значительно снижает нагрузку на сервер, повышая общую эффективность системы.
- Повышенная безопасность данных: SSL Passthrough защищает конфиденциальные данные от хакеров, создавая безопасный туннель между Вашим устройством и сервером. Это не позволит никому прочитать Вашу конфиденциальную информацию.
- Более быстрая работа сайта: SSL Passthrough помогает Вашему сайту загружаться быстрее, снимая бремя шифрования с сервера. Это означает, что больше людей могут одновременно посещать Ваш сайт, не замедляя его работу.
- Снижение нагрузки на сервер: SSL Passthrough снижает нагрузку на Ваш сервер, обрабатывая шифрование в другом месте. В результате Ваш сервер сможет быстро отвечать на запросы даже в периоды большой загруженности.
- Совместимость с приложениями: SSL Passthrough обеспечивает плавную интеграцию с различными приложениями и сервисами без модификаций и корректировок, гарантируя совместимость и простоту использования на различных платформах.
- Экономия средств: Перекладывая расшифровку SSL на балансировщик нагрузки, SSL Passthrough может сэкономить Ваши деньги на ресурсах сервера и стоимости обслуживания, снижая нагрузку на Ваш сервер и продлевая срок его службы.
Недостатки SSL Passthrough
- Сложная конфигурация: Настройка SSL Passthrough требует технических знаний и включает сложные процессы конфигурирования, в том числе настройку правил брандмауэра и решение проблем совместимости между версиями SSL/TLS и наборами шифров.
- Скомпрометированный трафик: SSL Passthrough позволяет зашифрованному трафику напрямую достигать внутреннего сервера, а это значит, что скомпрометированный код в зашифрованном трафике может нанести потенциальный вред серверу.
- Несовместимость с HTTP-профилями: SSL Passthrough не поддерживает HTTP-профили, которые представляют собой конфигурации, используемые для оптимизации HTTP-трафика. Это может привести к потенциальным ограничениям в управлении и оптимизации трафика.
- Невозможность смены серверов: Процесс SSL Passthrough не поддерживает быструю смену серверов, что влияет на надежность системы и возможность обхода отказа.
- Ограничения при использовании Cookie Persistence: Сохранение куки-файлов, метод, используемый для поддержания сеансов между клиентами и серверами, не может быть использован с SSL Passthrough, что потенциально может повлиять на управление сеансами и работу пользователей.
Как настроить SSL Passthrough?
Чтобы настроить SSL Passthrough для прокси-сервера или балансировщика нагрузки, выполните следующие действия:
- Выберите свой балансировщик нагрузки: Решите, будете ли Вы использовать аппаратное решение, как F5, или программное, как HAProxy или Nginx.
- Установите Ваш балансировщик нагрузки: Установите выбранный балансировщик нагрузки в своей сети.
- Настройте режимы TCP и HTTP: В настройках Вашего балансировщика нагрузки настройте режимы TCP (Transmission Control Protocol) и HTTP для фронтенда и бэкенда. Таким образом, балансировщик нагрузки обрабатывает трафик соответствующим образом.
- Включите SSL Passthrough: Найдите раздел ‘SSL/TLS’ в настройках Вашего балансировщика нагрузки и включите опцию ‘SSL Passthrough’. Он использует режим TCP для безопасной передачи зашифрованного трафика на внутренние серверы.
- Установите SSL-сертификаты на внутренних серверах: Хотя установка SSL-сертификата на балансировщик нагрузки не требуется для SSL Passthrough, убедитесь, что SSL/TLS-сертификаты установлены на внутренних серверах для защиты соединений.
- Укажите внутренние серверы: В разделе ‘Backend’ конфигурации балансировщика нагрузки введите IP-адреса внутренних серверов, на которые будет направляться SSL-шифрованный трафик.
- Сохраните и примените настройки: После того, как Вы настроили SSL Passthrough, указали внутренние серверы и обеспечили правильные режимы TCP и HTTP, сохраните настройки и примените их для активации.
SSL Passthrough против SSL Offloading
SSL Passthrough позволяет безопасному трафику проходить нетронутым непосредственно на сервер. Его функция заключается в том, что он не расшифровывает трафик и сохраняет оригинальное шифрование от клиента к серверу.
SSL Offloading отличается тем, что расшифровывает SSL-трафик на уровне балансировщика нагрузки. Этот метод разгружает сервер от обработки SSL-трафика, освобождая ресурсы и повышая производительность сервера. Он позволяет проверять трафик и обнаруживать вторжения. Однако он не обеспечивает сквозного шифрования.
Выбор между ними зависит от Ваших конкретных потребностей. Если сквозное шифрование имеет высокий приоритет, и Вас не так сильно беспокоит нагрузка на сервер, то SSL Passthrough может стать для Вас лучшим выбором.
SSL Passthrough против SSL Termination
Вы когда-нибудь задумывались, как SSL Passthrough сравнивается с SSL Termination? Выбирайте первый вариант, если для Вас скорость обработки трафика важнее его проверки и манипулирования им.
При использовании SSL Termination SSL-соединение заканчивается или “завершается” на балансировщике нагрузки. Трафик расшифровывается, проверяется, а затем отправляется на сервер в незашифрованном или заново зашифрованном виде.
Завершение SSL более требовательно к процессору, чем SSL Passthrough, но дает преимущество в управлении трафиком и применении таких функций безопасности, как защита от DDoS и WAF (Web Application Firewall).
SSL Bridging vs SSL Passthrough
SSL bridging, SSL termination и SSL offloading – эти термины часто используются как взаимозаменяемые, но в зависимости от контекста они могут иметь несколько разные значения.
SSL bridging расшифровывает SSL/TLS трафик на прокси-сервере или балансировщике нагрузки, прежде чем направить его на внутренний сервер. После расшифровки трафика прокси может проверить или изменить его, если это необходимо, прежде чем заново зашифровать его и отправить на внутренний сервер. SSL-мост обеспечивает видимость и контроль трафика на уровне прокси.
После обработки трафика балансировщик нагрузки повторно шифрует его с помощью собственного SSL-сертификата, а затем отправляет на внутренние серверы.
Используйте SSL Bridging для обнаружения и блокирования вредоносного трафика, внедрения маршрутизации на основе контента для направления запросов на определенные внутренние серверы в зависимости от их содержания или происхождения, а также для оптимизации, например, кэширования или сжатия.
Нижняя линия
В заключение, SSL Passthrough поддерживает безопасные, зашифрованные соединения, обходя процессы дешифрования. Несмотря на незначительные минусы, его преимущества, такие как сохранение сквозного шифрования и снижение нагрузки на серверы, весьма существенны.
Конфигурация может отличаться, но в целом процесс прост. Если сравнить SSL Offloading, Termination и Bridging, становится ясно, что каждый метод имеет свои уникальные применения. Ваше решение должно определять приоритеты конкретных потребностей и требований безопасности Вашей сети.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10