Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsrichtlinien für Ihren Network Load Balancer
Wenn Sie einen TLS-Listener erstellen, müssen Sie eine Sicherheitsrichtlinie auswählen. Eine Sicherheitsrichtlinie legt fest, welche Verschlüsselungen und Protokolle bei SSL-Verhandlungen zwischen Ihrem Load Balancer und den Clients unterstützt werden. Sie können die Sicherheitsrichtlinie für Ihren Load Balancer aktualisieren, falls sich Ihre Anforderungen ändern oder wenn wir eine neue Sicherheitsrichtlinie veröffentlichen. Weitere Informationen finden Sie unter Aktualisieren der Sicherheitsrichtlinie.
Überlegungen
-
Die
ELBSecurityPolicy-TLS13-1-2-2021-06Richtlinie ist die Standard-Sicherheitsrichtlinie für TLS-Listener, die mit dem erstellt wurden. AWS Management Console-
Wir empfehlen die
ELBSecurityPolicy-TLS13-1-2-2021-06Sicherheitsrichtlinie, die TLS 1.3 beinhaltet und abwärtskompatibel mit TLS 1.2 ist.
-
-
Die
ELBSecurityPolicy-2016-08Richtlinie ist die Standard-Sicherheitsrichtlinie für TLS-Listener, die mit dem erstellt wurden. AWS CLI -
Sie können die Sicherheitsrichtlinie wählen, die für Front-End-Verbindungen verwendet wird, aber nicht für Back-End-Verbindungen.
-
Wenn Ihr TLS-Listener für Backend-Verbindungen eine TLS 1.3-Sicherheitsrichtlinie verwendet, wird die
ELBSecurityPolicy-TLS13-1-0-2021-06-Sicherheitsrichtlinie verwendet. Andernfalls wird dieELBSecurityPolicy-2016-08-Sicherheitsrichtlinie für Backend-Verbindungen verwendet.
-
-
Sie können Zugriffsprotokolle für Informationen über die an Ihren Network Load Balancer gesendeten TLS-Anfragen aktivieren, TLS-Datenverkehrsmuster analysieren, Sicherheitsrichtlinien-Upgrades verwalten und Probleme beheben. Aktivieren Sie die Zugriffsprotokollierung für Ihren Load Balancer und überprüfen Sie die entsprechenden Zugriffsprotokolleinträge. Weitere Informationen finden Sie unter Zugriffsprotokolle und Network Load Balancer Balancer-Beispielabfragen.
-
Sie können einschränken, welche Sicherheitsrichtlinien Benutzern in Ihrem AWS-Konten Land zur Verfügung stehen, AWS Organizations indem Sie die Elastic Load Balancing Balancing-Bedingungsschlüssel in Ihren IAM- bzw. Service Control-Richtlinien (SCPs) verwenden. Weitere Informationen finden Sie unter Richtlinien zur Servicesteuerung (SCPs) im AWS Organizations Benutzerhandbuch.
Sie können die Protokolle und Chiffren mit dem describe-ssl-policies AWS CLI Befehl beschreiben oder in den folgenden Tabellen nachschlagen.
Sicherheitsrichtlinien
TLS-Sicherheitsrichtlinien
Sie können die TLS-Sicherheitsrichtlinien verwenden, um Konformitäts- und Sicherheitsstandards zu erfüllen, die die Deaktivierung bestimmter TLS-Protokollversionen erfordern, oder um ältere Clients zu unterstützen, die veraltete Verschlüsselungen benötigen.
Protokolle nach Richtlinien
In der folgenden Tabelle werden die Protokolle beschrieben, die von den einzelnen TLS-Sicherheitsrichtlinien unterstützt werden.
| Sicherheitsrichtlinien | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityRichtlinie- TLS13 -1-3-2021-06 | ||||
| ELBSecurityPolitik- -1-2-2021-06 TLS13 | ||||
| ELBSecurityRichtlinie- -1-2-Res-2021-06 TLS13 | ||||
| ELBSecurityRichtlinie- TLS13 -1-2-Ext2-2021-06 | ||||
| ELBSecurityRichtlinie- TLS13 -1-2-Ext1-2021-06 | ||||
| ELBSecurityRichtlinie- TLS13 -1-1-2021-06 | ||||
| ELBSecurityPolitik- -1-0-2021-06 TLS13 | ||||
| ELBSecurityRichtlinie TLS-1-2-EXT-2018-06 | ||||
| ELBSecurityRichtlinie-TLS-1-2-2017-01 | ||||
| ELBSecurityRichtlinie-TLS-1-1-2017-01 | ||||
| ELBSecurityPolitik-2016-08 | ||||
| ELBSecurityPolitik-2015-05 |
Chiffren nach Richtlinien
In der folgenden Tabelle werden die Verschlüsselungen beschrieben, die von den einzelnen TLS-Sicherheitsrichtlinien unterstützt werden.
| Sicherheitsrichtlinie | Verschlüsselungen |
|---|---|
| ELBSecurityRichtlinie- -1-3-2021-06 TLS13 |
|
| ELBSecurityPolitik- TLS13 -1-2-2021-06 |
|
| ELBSecurityRichtlinie- -1-2-Res-2021-06 TLS13 |
|
| ELBSecurityRichtlinie- TLS13 -1-2-Ext2-2021-06 |
|
| ELBSecurityRichtlinie- -1-2-Ext1-2021-06 TLS13 |
|
| ELBSecurityPolitik- -1-1-2021-06 TLS13 |
|
| ELBSecurityPolitik- -1-0-2021-06 TLS13 |
|
| ELBSecurityRichtlinie-TLS-1-2-EXT-2018-06 |
|
| ELBSecurityRichtlinie-TLS-1-2-2017-01 |
|
| ELBSecurityRichtlinie-TLS-1-1-2017-01 |
|
| ELBSecurityPolitik 2016-08 |
|
| ELBSecurityPolitik 2015-05 |
|
Richtlinien nach Chiffre
In der folgenden Tabelle werden die TLS-Sicherheitsrichtlinien beschrieben, die die einzelnen Verschlüsselungen unterstützen.
| Name der Chiffre | Sicherheitsrichtlinien | Verschlüsselungssuite |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 IANA — TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 |
|
1303 |
|
OpenSSL — ECDHE-ECDSA-AES 128-GCM- SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES 128-GCM- SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES 128- SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES 128- SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128-SHA ECDHE-ECDSA-AES IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128-SHA ECDHE-RSA-AES IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES 256-GCM- SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES 256-GCM- SHA384 IANA — TLS_ECCHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES 256- SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES 256- SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256-SHA ECDHE-ECDSA-AES IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256-SHA ECDHE-RSA-AES IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — AES128 -GCM- SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_ SHA256 |
|
9c |
|
OpenSSL — - AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_ SHA256 |
|
3c |
|
OpenSSL — -SHA AES128 IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — AES256 -GCM- SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_ SHA384 |
|
9d |
|
OpenSSL — - AES256 SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_ SHA256 |
|
3d |
|
OpenSSL — -SHA AES256 IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FIPS-Sicherheitsrichtlinien
Der Federal Information Processing Standard (FIPS) ist ein US-amerikanischer und kanadischer Regierungsstandard, der die Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140
Alle FIPS-Richtlinien nutzen das FIPS-validierte kryptografische Modul von AWS-LC. Weitere Informationen finden Sie auf der Seite AWS-LC Cryptographic Module
Wichtig
Richtlinien ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 und ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 werden nur aus Gründen der Kompatibilität mit älteren Versionen bereitgestellt. Sie verwenden zwar FIPS-Kryptografie mit dem Modul FIPS14 0, entsprechen aber möglicherweise nicht den neuesten NIST-Richtlinien für die TLS-Konfiguration.
Protokolle nach Richtlinien
In der folgenden Tabelle werden die Protokolle beschrieben, die von den einzelnen FIPS-Sicherheitsrichtlinien unterstützt werden.
| Sicherheitsrichtlinien | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityRichtlinie- -1-3-FIPS-2023-04 TLS13 | ||||
| ELBSecurityRichtlinie- TLS13 -1-2-FIPS-2023-04 | ||||
| ELBSecurityRichtlinie- TLS13 -1-2-RES-FIPS-2023-04 | ||||
| ELBSecurityRichtlinie- TLS13 -1-2-ext2-FIPS-2023-04 | ||||
| ELBSecurityRichtlinie- TLS13 -1-2-ext1-FIPS-2023-04 | ||||
| ELBSecurityRichtlinie- TLS13 -1-2-ext0-FIPS-2023-04 | ||||
| ELBSecurityRichtlinie- TLS13 -1-1-FIPS-2023-04 | ||||
| ELBSecurityRichtlinie- TLS13 -1-0-FIPS-2023-04 |
Chiffren nach Richtlinie
In der folgenden Tabelle werden die Verschlüsselungen beschrieben, die von den einzelnen FIPS-Sicherheitsrichtlinien unterstützt werden.
| Sicherheitsrichtlinie | Verschlüsselungen |
|---|---|
| ELBSecurityRichtlinie- -1-3-FIPS-2023-04 TLS13 |
|
| ELBSecurityRichtlinie- -1-2-FIPS-2023-04 TLS13 |
|
| ELBSecurityRichtlinie- -1-2-RES-FIPS-2023-04 TLS13 |
|
| ELBSecurityRichtlinie- TLS13 -1-2-ext2-FIPS-2023-04 |
|
| ELBSecurityRichtlinie- -1-2-ext1-FIPS-2023-04 TLS13 |
|
| ELBSecurityRichtlinie- -1-2-ext0-FIPS-2023-04 TLS13 |
|
| ELBSecurityRichtlinie- -1-1-FIPS-2023-04 TLS13 |
|
| ELBSecurityRichtlinie- -1-0-FIPS-2023-04 TLS13 |
|
Richtlinien nach Chiffre
In der folgenden Tabelle werden die FIPS-Sicherheitsrichtlinien beschrieben, die die einzelnen Verschlüsselungen unterstützen.
| Name der Chiffre | Sicherheitsrichtlinien | Verschlüsselungssuite |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — ECDHE-ECDSA-AES 128-GCM- SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES 128-GCM- SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES 128- SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES 128- SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128-SHA ECDHE-ECDSA-AES IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128-SHA ECDHE-RSA-AES IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES 256-GCM- SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES 256-GCM- SHA384 IANA — TLS_ECCHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES 256- SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES 256- SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256-SHA ECDHE-ECDSA-AES IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256-SHA ECDHE-RSA-AES IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — AES128 -GCM- SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_ SHA256 |
|
9c |
|
OpenSSL — - AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_ SHA256 |
|
3c |
|
OpenSSL — -SHA AES128 IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — AES256 -GCM- SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_ SHA384 |
|
9d |
|
OpenSSL — - AES256 SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_ SHA256 |
|
3d |
|
OpenSSL — -SHA AES256 IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FS unterstützte Sicherheitsrichtlinien
Von FS (Forward Secrecy) unterstützte Sicherheitsrichtlinien bieten zusätzliche Schutzmaßnahmen gegen das Abhören verschlüsselter Daten durch die Verwendung eines eindeutigen zufälligen Sitzungsschlüssels. Dadurch wird die Entschlüsselung erfasster Daten verhindert, selbst wenn der geheime Langzeitschlüssel kompromittiert wird.
Protokolle nach Richtlinien
In der folgenden Tabelle werden die Protokolle beschrieben, die von jeder FS-unterstützten Sicherheitsrichtlinie unterstützt werden.
| Sicherheitsrichtlinien | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityRichtlinie-FS-1-2-RES-2020-10 | ||||
| ELBSecurityRichtlinie-FS-1-2-RES-2019-08 | ||||
| ELBSecurityPolitik-FS-1-2-2019-08 | ||||
| ELBSecurityPolitik-FS-1-1-2019-08 | ||||
| ELBSecurityPolitik-FS-2018-06 |
Chiffren nach Richtlinien
In der folgenden Tabelle werden die Chiffren beschrieben, die von jeder FS-unterstützten Sicherheitsrichtlinie unterstützt werden.
| Sicherheitsrichtlinie | Verschlüsselungen |
|---|---|
| ELBSecurityRichtlinie-FS-1-2-RES-2020-10 |
|
| ELBSecurityRichtlinie-FS-1-2-RES-2019-08 |
|
| ELBSecurityRichtlinie-FS-1-2-2019-08 |
|
| ELBSecurityPolitik-FS-1-1-2019-08 |
|
| ELBSecurityRichtlinie-FS-2018-06 |
|
Richtlinien nach Chiffre
In der folgenden Tabelle werden die von FS unterstützten Sicherheitsrichtlinien beschrieben, die die einzelnen Verschlüsselungen unterstützen.
| Name der Chiffre | Sicherheitsrichtlinien | Verschlüsselungssuite |
|---|---|---|
|
OpenSSL — ECDHE-ECDSA-AES 128-GCM- SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES 128-GCM- SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES 128- SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES 128- SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128-SHA ECDHE-ECDSA-AES IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128-SHA ECDHE-RSA-AES IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES 256-GCM- SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES 256-GCM- SHA384 IANA — TLS_ECCHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES 256- SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES 256- SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256-SHA ECDHE-ECDSA-AES IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256-SHA ECDHE-RSA-AES IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
