AWS让用户终止网络负载均衡器的TLS,以简化构建安全网页应用程序的过程。当用户使用HTTPS协议访问网站的时候,服务器端与客户端会进行SSL/TLS交握,双方会协商加密方式、交换密钥以及设置对话密钥,以创建安全的通信信道。一旦信道创建,则对话的两端,都会使用对话密钥加密和解密流量。
在网络负载均衡器终止TLS,这将能让用户的后端服务器,免于加密和解密所有计算密集工作的流量。不过即便这样,后端服务器仍可以获得来源IP以及链接端口信息,而且AWS提到,大规模使用TLS协议,代表服务器的凭证需要被发送到每个后端服务器,这不只会产生额外的工作,也因为存在多个凭证副本,因此增加了攻击面。 TLS终止提供用户一个单一集中的凭证管理点,简化复杂性。
AWS还承诺提供零时差修补服务,AWS表示,由于TLS协议设计复杂,实例又会不时更新以应对新的威胁,在网络负载均衡器进行TLS终止,可以保护后端服务器,并由AWS代为进行更新。用户也可以为网络负载均衡器激活访问日志,并将其导入到S3存储桶,日志可以纪录TLS协议版本、密码组件、链接时间、交握时间等详细消息。