SSL Offloading là gì? Thực hiện SSL ở mức Load Balancer.
Hôm nay, chúng ta sẽ đề cập đến một câu hỏi thỉnh thoảng xuất hiện và có vẻ đặc biệt là đối với những người không có nền tảng CNTT: SSL offloading là gì? Chúng tôi sẽ cung cấp một cái nhìn tổng quan nhanh về SSL offloading có nghĩa là gì, tại sao bạn có thể muốn thực hiện nó và liệu bạn có nên làm điều đó không.
Một trong những sai lầm khi suy nghĩ về SSL / TLS và thực sự với cách thức hoạt động của Internet nói chung là kết nối 1: 1. Máy tính của một người kết nối trực tiếp với máy chủ web và thông tin liên lạc trực tiếp từ máy chủ này đến máy chủ khác. Trong thực tế, nó phức tạp hơn nhiều, với đôi khi trở lên của một chục điểm dừng giữa các điểm kết thúc.
Đó là một phần thông tin quan trọng cần lưu ý khi chúng tôi bắt đầu chuyển sang SSL offloading.
Vì vậy, SSL offloading là gì và nó hoạt động như thế nào?
Hãy băm nó ra …
SSL offloading là gì?
Trước TLS 1.3 , ngay cả trước TLS 1.2, SSL / TLS được sử dụng để thêm độ trễ hợp lý vào các kết nối. Và đó là lí do khiến SSL / TLS làm chậm các trang web. Mười năm trước, đó là tiếng gõ trên giấy chứng nhận SSL. “Ồ, họ làm chậm trang web của bạn.” Và đó là sự thật vào thời điểm đó.
Nó không phải là ngày hôm nay, nhưng trong quá khứ SSL / TLS được coi là gây tốn tài nguyên. Để bắt đầu, bạn sẽ phải thực hiện hand shake SSL / TLS. Nó đã được tinh chế để nó bây giờ là một vòng duy nhất trong TLS 1.3 , nhưng trước đó phải mất một số roundtrips . Sau đó, sau khi thực hiện hand shake, sức mạnh xử lý bổ sung phải được sử dụng để mã hóa và giải mã dữ liệu được truyền đi . Khi tải bổ sung từ SSL / TLS tăng lên trên máy chủ, nó không còn có thể xử lý hết công suất.
Một lần nữa, rất nhiều điều này đã được dọn sạch trong TLS 1.3 và HTTP / 2 – yêu cầu sử dụng SSL / TLS – giúp tăng hiệu suất nhiều hơn, nhưng ngay cả với tất cả những cải tiến đó, SSL / TLS vẫn có thể gây ra độ trễ với lưu lượng truy cập cao hơn.
Vì vậy, SSL offloading là gì? Vâng, để giúp bù đắp thêm gánh nặng SSL / TLS bổ sung, bạn có thể quay lên các trình xử lý riêng (ASIC) riêng biệt được giới hạn chỉ thực hiện các chức năng cần thiết cho SSL / TLS, cụ thể là handshake và mã hóa / giải mã. Điều này giải phóng sức mạnh xử lý cho ứng dụng hoặc trang web dự định. Đó là SSL offloading trong một nutshell. Đôi khi nó còn được gọi là cân bằng tải. Bạn có thể nghe thấy thuật ngữ cân bằng tải được ném xung quanh. Trình cân bằng tải là bất kỳ thiết bị nào giúp cải thiện phân phối khối lượng công việc trên nhiều tài nguyên, ví dụ phân phối khối lượng công việc SSL / TLS cho bộ xử lý ASIC.
Ưu điểm của SSL offloading là gì?
SSL offloading có một số lợi ích:
- Nó giảm tải các nhiệm vụ bổ sung từ các máy chủ ứng dụng của bạn để chúng có thể tập trung vào các chức năng chính của chúng.
- Nó tiết kiệm tài nguyên trên các máy chủ ứng dụng đó.
- Và, tùy thuộc vào cân bằng tải bạn đang sử dụng, nó cũng có thể giúp kiểm tra HTTPS , đảo ngược proxy, kiên trì cookie, quy định lưu lượng truy cập, v.v.
Điều cuối cùng là một trong những điều quan trọng nhất: trong một số trường hợp, SSL offloading có thể hỗ trợ kiểm tra traffic. Quan trọng như mã hóa, nó có một nhược điểm chính: kẻ tấn công có thể ẩn trong lưu lượng được mã hóa của bạn. Không có sự thiếu hụt các khai thác cao cấp đã xảy ra do các kẻ tấn công ẩn trong lưu lượng HTTPS, gần đây Magecart đã sử dụng lưu lượng HTTPS để làm xáo trộn PCI nó đã được exfiltrating từ các trang thanh toán khác nhau .
Việc có thể kiểm tra lưu lượng truy cập HTTPS trở nên gần như bắt buộc khi tổ chức của bạn đạt đến một kích thước nhất định và một trong những cách tốt nhất để làm điều đó là giảm tải các quy trình SSL / TLS của bạn.
SSL offloading hoạt động như thế nào?
Khi chúng ta nói về SSL offloading có hai cách khác nhau để thực hiện nó:
- SSL Termination
- SSL Bridging
Hãy bắt đầu với SSL Termination đầu tiên bởi vì nó đơn giản hơn một chút. Về cơ bản, nó hoạt động theo cách này, máy chủ proxy hoặc bộ cân bằng tải mà bạn sử dụng cho SSL offloading hoạt động như SSL terminator, cũng hoạt động như một thiết bị cạnh. Khi một khách hàng cố gắng kết nối với một trang web, máy khách kết nối với trình SSL terminator— thông qua kết nối HTTPS. Nhưng kết nối giữa SSL terminator và máy chủ ứng dụng là thông qua HTTP.
Bây giờ, bạn có thể hỏi làm thế nào mà không gây ra vấn đề với trình duyệt, đó là vì kết nối HTTP đang diễn ra đằng sau hậu trường – trên mạng nội bộ, được tường lửa bảo vệ – máy khách vẫn có kết nối an toàn với SSL terminator, hoạt động như một đường chuyền.
Dưới đây là hình ảnh về chấm dứt SSL:
SSL Bridging là khái niệm cực kỳ giống nhau, ngoại trừ việc gửi lưu lượng và các yêu cầu qua HTTP, nó mã hóa lại mọi thứ trước khi gửi nó đến máy chủ ứng dụng.
Đây là hình ảnh của SSL Bridging:
Cả hai cho phép bạn thực hiện kiểm tra traffic và có thể giúp đỡ rất nhiều khi bạn đang xử lý khối lượng lưu lượng truy cập lớn trên các mạng lớn hơn.
Ghi nhớ, mã hóa là một công việc gây tốn rất nhiều CPU. Khi ngành công nghiệp di chuyển từ khóa RSA 1024 bit sang 2048 bit, việc sử dụng CPU liên quan tăng lên từ 4-7 lần tùy thuộc vào máy chủ. Chúng tôi sẽ không bao giờ có thể thậm chí nhận được đến 4096-bit phím bởi vì thẳng thắn, tại thời điểm đó sự gia tăng sử dụng CPU không phải là consummate để cải thiện an ninh. Đó là lý do tại sao chúng ta thấy một sự thúc đẩy đối với nhiều hệ thống mã hóa dựa trên đường cong elliptic hơn .
Vì vậy, chúng ta hãy cùng đi tìm câu trả lời: bạn nên xem xét SSL offloading?
Và thẳng thắn, tất cả đều đến với bạn, trang web của bạn và những gì bạn đang cố gắng làm. Một trang web truyền thông lớn như ESPN hoặc CNN sẽ rất phù hợp để sử dụng bộ cân bằng tải do lưu lượng truy cập mà cả hai đều xử lý. Mặt khác, nếu bạn chỉ đang chạy một trang web cho một tiệm bánh địa phương, có thể bạn sẽ ổn khi chỉ cho phép máy chủ của bạn xử lý mọi thứ — đặc biệt với các cải tiến được thực hiện bởi TLS 1.3 .