A company deploys a distributed web application on a fleet of Amazon EC2 instances. The fleet is behind an Application Load Balancer (ALB) that will be configured to terminate the TLS connection. All TLS traffic to the ALB must stay secure, even if the certificate private key is compromised.
How can a security engineer meet this requirement?
A. Create an HTTPS listener that uses a certificate that is managed by AWS Certificate Manager (ACM).
B. Create an HTTPS listener that uses a security policy that uses a cipher suite with perfect forward secrecy (PFS).
C. Create an HTTPS listener that uses the Server Order Preference security feature.
D. Create a TCP listener that uses a custom security policy that allows only cipher suites with perfect forward secrecy.
B
一家公司在多臺亞馬遜彈性計算云(Amazon EC2)實例上部署了一個分布式 Web 應用程序。這些實例位于一個應用程序負載均衡器(Application Load Balancer,ALB)后面,該均衡器將被配置為終止傳輸層安全(Transport Layer Security,TLS)連接。即使證書私鑰被泄露,所有發(fā)送到 ALB 的 TLS 流量也必須保持安全。安全工程師如何才能滿足這一要求?
公司在多臺 Amazon EC2 實例上部署分布式 Web 應用,ALB 將終止 TLS 連接,要求即使在證書私鑰被泄露的情況下,所有到 ALB 的 TLS 流量仍保持安全,安全工程師需找出滿足該要求的方案。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。創(chuàng)建使用由 AWS Certificate Manager(ACM)管理的證書的 HTTPS 監(jiān)聽器。此操作主要是利用 ACM 簡化證書管理,方便配置 HTTPS 監(jiān)聽器,但無法解決證書私鑰泄露后流量仍安全的問題,不能滿足要求。
B. 正確。創(chuàng)建使用具有完美前向保密(PFS)的密碼套件的安全策略的 HTTPS 監(jiān)聽器。使用具有 PFS 的密碼套件,即使證書私鑰被泄露,過去的會話密鑰也無法被解密,能保證之前通信的安全性,滿足在證書私鑰泄露情況下流量仍安全的要求。
C. 不正確。創(chuàng)建使用 Server Order Preference 安全特性的 HTTPS 監(jiān)聽器。Server Order Preference 主要影響服務器和客戶端協(xié)商加密套件的順序,與解決證書私鑰泄露后流量安全的問題無關,不能滿足要求。
D. 不正確。創(chuàng)建使用僅允許具有完美前向保密的密碼套件的自定義安全策略的 TCP 監(jiān)聽器。TCP 監(jiān)聽器通常不用于直接處理 TLS 流量,且配置復雜,相比 HTTPS 監(jiān)聽器,不是解決此問題的合適方式,不能滿足要求。
AWS Certificate Manager(ACM):ACM 可用于管理證書,創(chuàng)建使用 ACM 管理證書的 HTTPS 監(jiān)聽器,主要作用是簡化證書管理,方便配置和使用證書,但本身不能直接解決證書私鑰泄露后流量仍安全的問題。
安全策略與密碼套件:安全策略定義了 ALB 使用的加密算法等安全設置,完美前向保密(Perfect Forward Secrecy,PFS)是一種密碼套件特性,使用具有 PFS 的密碼套件,即使長期私鑰被泄露,過去的會話密鑰也無法被解密,可保證之前通信的安全性。
Server Order Preference 安全特性:該特性主要涉及服務器和客戶端在協(xié)商加密套件時的順序偏好,影響雙方選擇加密算法的方式,對解決證書私鑰泄露后流量安全的問題沒有直接作用。
TCP 監(jiān)聽器與自定義安全策略:TCP 監(jiān)聽器工作在傳輸層,與 HTTPS 監(jiān)聽器(應用層)不同。創(chuàng)建使用自定義安全策略且僅允許具有 PFS 的密碼套件的 TCP 監(jiān)聽器,需考慮 TCP 層處理 TLS 流量的復雜性,且通常 ALB 使用 HTTPS 監(jiān)聽器處理 TLS 更合適。