代理器（亚马逊云AWS）

在我们使用HTTPS协议访问网站时，期间会发生各种握手、证书交换和加解密等的过程，以创建和维护安全的通信通道。客户端（浏览器）和Web服务器协同工作以以协商双方都同意的密码，交换密钥和设置会话密钥。握手完成，安全隧道建立，会话的两端就使用协商好的密钥来加密和解密所有的通讯过程。由于会话密钥对于客户端和服务器之间的对话是唯一的，因此第三方无法解密流量或篡改对话，这样保证了数据传输的安全性。但是这样的传输过程也带来了一个问题那就是如果你使用CDN或者代理等则HTTPS的配置、证书管理等问题就非常棘手。最近知名云厂商亚马逊AWS宣布在其网络均衡其中支持TLS代理器，今天虫虫就带领大家一起学习下亚马逊AWS新的TLS代理器。

新的TLS代理

AWS宣布的新TTLS代理基于网络负载均衡器的TLS（传输层安全性）连接来简化我们构建安全Web应用程序的过程。通过该代理，可以将所有的TLS加解密等运算都推到NLB上，减轻你后端服务器的压力，同时提供你和在应用服务器上运行TLS的同样的功能和优势：

源IP可见：源IP地址和端口都可以反馈到后端服务器，即使在NLB代理TLS时也可以。

详细访问日志：支持在网络负载均衡器启用访问日志，并将它们存储到、S3存储空间。日志条目包括有关TLS协议版本，密码套件，连接时间，握手时间等的详细信息。

简化管理：大规模使用TLS意味着我们需要负责将服务器证书分发到每个后端服务器。这将产生额外的管理工作，并且由于存在多个证书副本而增加了潜在的攻击点。而AWS推出的新代理，则解决了这一切的问题，可以通过AWS管理后台进行统一证书管理。如果使用AWS Certificate Manager（ACM），则证书可以实现安全存储，过期和定期轮换，并自动更新。

零日漏洞修补：TLS协议很复杂，实施后需要不断更新，以应对新出现的安全漏洞。通过NLB代理你的连接可保护你的后端服务器，AWS则会自动更新NLB以应对这些安全威胁。注意到AWS使用的加密套件是s2n，这是亚马逊本身以安全为中心，经过其线上业务的验证的TLS/SSL协议实现（关于S2n，虫虫之前的文章中介绍过）。

持续的合规改进：支持使用内置的安全策略来指定应用程序可接受的密码套件和协议版本。可以帮助应对安HTTPS全合安全检查，获得完美的TLS分数。

经典网络升级：如果使用经典负载均衡器，需要进行TLS代理，则切换到网络负载均衡器将允许你更快地扩展以响应增加的负载。还可以使用NLB的静态IP地址，记录请求的源IP地址。

TLS代理配置过程（控制台为例）

创建网络负载均衡器，只需几个简单步骤，几分钟我们就可以创建好TLS代理。还支持使用API​​（CreateLoadBalancer），CLI（终端命令行），EC2控制台或AWS CloudFormation模板方式来创建。本文中我们使用控制台为例子来创建。

1、创建配置NLB

打开AWS控制台，然后单击Load Balancers以开始使用。然后单击网络负载均衡器区域中的创建：

实例中，使用了一个名称（MyLB2）并选择TLS（安全TCP）作为负载均衡器协议：

然后选择一个或多个可用区（Availablity Zones），并可选择为每个可用区选择一个弹性IP地址（Elastic IP）。此处选择标记NLB。完成设置后，单击"下一步：配置安全设置（Next：Configure Security Settings）"继续。

2、安全设置

在下一页，可以选择现有证书或上传新证书。选择已有的证书。并选择了一个安全策略（一分钟内更多内容）：

当前有七种安全策略可供选择。每个策略允许使用某些TLS版本和密码：

describe-load-balancer-policies命令可用于了解有关策略的更多信息：

选择证书和策略后，单击"下一步：配置路由(Next:Configure Routing)"。可以选择在NLB和目标之间使用的通信协议（TCP或TLS）。如果选择TLS，则通信被加密,这样你整改传输过程都被加密，使用了完整的端到端加密。

3、配置路由

其他设置过程，点击下一步（Next），就可以完成配置。

功能上线地区

目前该功能已经上线并且支持在一下地区和可用区使用，包括：

美国东部（弗吉尼亚北部），美国东部（俄亥俄州），美国西部（加利福尼亚州北部），美国西部（俄勒冈州），亚太地区（孟买），亚太地区（首尔），亚太地区（新加坡），亚太地区（悉尼），亚太地区（东京），加拿大（中部），欧洲（法兰克福），欧洲（爱尔兰），欧洲（伦敦），欧洲（巴黎）和南美洲 （圣保罗）地区。