Телеграмм чат группы aws

ну значит подкладывать можно)

22:14пожаловаться #1

ну там требования достаточно простые, сказали data must be encrypted at transfer

22:14пожаловаться #2

и at rest

22:14пожаловаться #3

с того же godaddy

22:14пожаловаться #4

inqfen in AWS_RU

Danylo Hetmantsev

с того же godaddy

Ну там и взяли

22:14пожаловаться #5

ок, тогда следующий вопрос про этот ELB

22:15пожаловаться #6

ну at rest - EBS Volume encryption

22:15пожаловаться #7

для at transfer - nginx + ssl

22:15пожаловаться #8

ну вот я и подумал, что даже если это самоподписанный сертификат, то оно ж все равно технически зашифровано

22:16пожаловаться #9

еще если хотите заморочиться

22:16пожаловаться #10

как?

22:16пожаловаться #11

то можно взять NLB и авторизировать его по TLS сертификату на бекенде, таким образом у вас трафик от nlb до nginx будет идти уже зашифрованный

22:17пожаловаться #12

inqfen in AWS_RU

Konstantin Sirotkin

ну вот я и подумал, что даже если это самоподписанный сертификат, то оно ж все равно технически зашифровано

К серту тоже могут быть требования

22:17пожаловаться #13

inqfen in AWS_RU

Как и к протоколу, например tls не ниже 1.2

22:17пожаловаться #14

о да

22:17пожаловаться #15

моя рекомендация - хорошо изучить требования секьюрити и уже отталкиваться от них

22:17пожаловаться #16

в смысле да, потребовали запретить tls 1.1

22:17пожаловаться #17

ну это на nginx делается за минуту

22:17пожаловаться #18

я знаю, уже сделал :)

22:18пожаловаться #19

меняется конфиг да и все в принципе)