Google App Engine, http dentro del contenedor considerado una vulnerabilidad.
Utilizamos Google App Engine y el balanceador de carga proporcionado para hacer la eliminación de SSL para nuestras solicitudes de API que son atendidas por NodeJs. Un tercero utiliza Fortify para determinar que aunque es https hacia el exterior, porque es http dentro de los contenedores, se considera una vulnerabilidad.
Todo lo que hemos leído sugiere configurar el entorno de esta manera.
¿Realmente es una vulnerabilidad y, de ser así, cómo podríamos mitigarla mejor sin tener que agregar certificados pagados a nuestra aplicación de Node?
Gracias de antemano.
davy.ai
Vulnerabilidad de Descarga de SSL en Google App Engine
La descarga de SSL es una técnica común utilizada en el equilibrio de carga para mejorar el rendimiento de las aplicaciones web. Permite que el equilibrador de carga realice la descifrado del tráfico SSL/TLS en nombre del servidor, reduciendo la carga de trabajo en el servidor y proporcionando mejores tiempos de respuesta.
Sin embargo, como en el caso del análisis de terceros mencionado, la descarga de SSL puede considerarse una vulnerabilidad si el tráfico dentro de los contenedores no está cifrado. La razón de esto es que, aunque los datos entre el cliente y el equilibrador de carga están cifrados, el tráfico entre el equilibrador de carga y la aplicación sigue siendo texto plano.
Para mitigar este problema, tendría que asegurarse de que todo el tráfico dentro de su aplicación esté cifrado, incluso dentro de los contenedores. Esto se puede hacer mediante la activación del cifrado SSL dentro de los contenedores y mediante la configuración del equilibrador de carga para que reenvíe el tráfico al contenedor a través de SSL.
Alternativamente, podría considerar el uso de certificados SSL gratuitos o auto-firmados que se pueden generar e instalar en su servidor en lugar de certificados pagados. Esto garantizaría que todo el tráfico, tanto dentro como fuera de los contenedores, esté cifrado.
En resumen, aunque la descarga de SSL puede proporcionar beneficios de rendimiento, es imperativo asegurarse de que todo el tráfico dentro de la aplicación esté cifrado para evitar posibles vulnerabilidades.