我有一个通过HTTPS运行的前端Web服务器 – 这是面向公众的 – 即端口是开放的.
我还有一个后端API服务器,我的网络服务器发出API请求 – 这是面向公众的,需要身份验证 – 端口是打开的.
这两台服务器通过HTTPS运行.
在API服务器后面,还有很多其他服务器. API服务器反向代理这些服务器.这些其他服务器的端口不对传入流量开放.它们只能通过API服务器进行通信.
我的问题……“许多其他服务器”是否需要通过HTTPS运行,或者由于无法从外部访问,它们是否可以安全地通过HTTP运行?
我认为这是一个常见的问题,但我找不到答案.谢谢.如果这是一个骗局,请指出我正确的答案.
解决方法
这是一个意见问题,也与监管问题有关(如果您面临任何问题).
即使它当前不是必需的,我仍然是在任何应用程序级防火墙/负载平衡器/前端服务器和后端服务器之间保持HTTPS启用的主要倡导者.这是一个较小的攻击面.随着更敏感的信息开始被传递,我已经与需要转换的地方签约了 – 最好从那里开始.
我通常建议使用内部CA(如果可用)或自签名(如果没有内部CA)后端服务器.为了避免不必要的更改,我们将过期日期设置得很好并且远远落后于未来.
