Phân tích 3 mode SSL trong Load Balancing

Giới thiệu

Ngày nay, việc sử dụng các khả năng của load balancing SSL để mã hóa/giải mã lưu lượng truy cập từ máy khách đến nền tảng ứng dụng web là điều phổ biến (và thuận tiện). Load balancing (Cân bằng tải) là việc phân phối hiệu quả lưu lượng truy cập đến trên một nhóm backend servers, hay còn được gọi là server farm hoặc server pool.

Trong mô hình load balancing, Server load balancing đứng giữa client và các backend servers, vì vậy kết nối mã hóa SSL giữa Client và Server sẽ có thể được thực hiện theo các cách thức sau: SSL Passthrough, SSL Offloading và SSL Bridging.

Trong bài viết này, chúng tôi sẽ phân tích sự khác biệt của 3 cách thức trên.

Phân tích sự khác biệt

  • SSL Passthrough: Thực hiện yêu cầu kết nối trực tiếp giữa Client và các backend servers. Tuy nhiên, khi đó chúng ta lại không thể thực hiện Add/Set phần Header. Ở chế độ này, Server load balancing không giải mã lưu lượng. Nó chỉ mở một đường hầm TCP giữa máy khách và máy chủ và để chúng cùng nhau thương lượng và xử lý lưu lượng TLS.
  • SSL Offloading: Thực hiện yêu cầu kết nối mã hóa SSL giữa Client và Server load balancing, còn từ Server load balancing thực hiện các kết nối không mã hóa với backend servers. Trong chế độ này, Server load balancing giải mã lưu lượng ở phía máy khách và được kết nối rõ ràng với máy chủ.
  • SSL Bridging: Một cách thức khác là kết hợp cả 02 cách thức trên mà vừa đảm bảo phân tải xử lý của CPU. Ở chế độ này, server load balancing giải mã lưu lượng ở phía máy khách và mã hóa lại ở phía máy chủ. Nó có thể truy cập vào nội dung của yêu cầu và phản hồi và thực hiện xử lý nâng cao đối với lưu lượng ví dụ như cho phép thực hiện chỉnh sửa thông tin Header.

Nhược điểm:

  • SSL Passthrough:
    • Lưu lượng truy cập có thể có mã hack trong lưu lượng và sẽ được chuyển trực tiếp đến máy chủ phụ trợ. (Thông tin liên lạc được mã hóa của kẻ tấn công).
  • SSL Offloading:
    • Luồng mạng được giải mã tại Server load balancing. Tất nhiên, nó dễ bị đánh cắp dữ liệu, tấn công trung gian như man-in-the-middle xâm nhập mạng nội bộ.
    • Sau khi lưu lượng truy cập HTTP bị lộ, bạn phải đảm bảo rằng tất cả các nút ở giữa (phiên bản mạng) đều được quản lý tốt
  • SSL Bridging:
    • SSL Bridging sẽ mã hóa lại khi bộ cân bằng tải gửi lưu lượng truy cập đến phần phụ trợ, nó sẽ tăng gấp đôi chi phí vì nó sẽ mã hóa lại lần nữa và máy chủ ứng dụng cần giải mã.
    • Bạn sẽ bắt đầu phụ thuộc rất nhiều vào bộ cân bằng tải để mã hóa/giải mã lưu lượng truy cập và các phiên bản mạng khác (Tường lửa, proxy, v.v.).

Tổng kết

Ở bài viết trên, chúng tôi đã phân tích sự khác biệt của 3 cách thức cấu hình SSL load balancing. Nếu bạn có bất kỳ câu hỏi hoặc phản hồi nào, hãy để lại bình luận bên dưới.

Leave A Comment?