Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de seguridad para su Application Load Balancer
Elastic Load Balancing utiliza una configuración de negociación de Secure Socket Layer (SSL), conocida como política de seguridad, para negociar SSL las conexiones entre un cliente y el balanceador de carga. Una política de seguridad es una combinación de protocolos y cifrados. El protocolo establece una conexión segura entre un cliente y un servidor, y garantiza que todos los datos transferidos entre el cliente y el equilibrador de carga son privados. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Los protocolos usan diversos cifrados para cifrar los datos a través de Internet. Durante el proceso de negociación de conexiones, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. De forma predeterminada, el primer cifrado que se va a seleccionar para la conexión segura será el primero de la lista del servidor que coincida con uno de los cifrados del cliente.
Consideraciones
-
Los balanceadores de carga de aplicaciones solo admiten la SSL renegociación de las conexiones de destino.
-
Los equilibradores de carga de aplicaciones no admiten políticas de seguridad personalizadas.
-
La
ELBSecurityPolicy-TLS13-1-2-2021-06política es la política de seguridad predeterminada para los HTTPS oyentes que se crean con. AWS Management Console -
La
ELBSecurityPolicy-2016-08política es la política de seguridad predeterminada para los HTTPS oyentes que se crean con. AWS CLI -
Al crear un HTTPS listener, es necesario seleccionar una política de seguridad.
-
Recomendamos la política de
ELBSecurityPolicy-TLS13-1-2-2021-06seguridad, que incluye la versión TLS 1.3 y es compatible con versiones anteriores de la versión TLS 1.2.
-
-
Puede elegir la política de seguridad que se utilice para las conexiones frontales, pero no para las conexiones finales.
-
Para las conexiones de back-end, si alguno de sus HTTPS oyentes utiliza una política de seguridad TLS 1.3, se utilizará la política de
ELBSecurityPolicy-TLS13-1-0-2021-06seguridad. De lo contrario, la política de seguridadELBSecurityPolicy-2016-08se utiliza con las conexiones de backend.
-
-
Puede utilizar una de las políticas de seguridad para cumplir con los estándares de seguridad y conformidad que obligan a deshabilitar determinadas versiones de TLS protocolos o para dar soporte a los clientes antiguos que requieren cifrados obsoletos.
ELBSecurityPolicy-TLS-Para ver la versión del TLS protocolo para las solicitudes a su Application Load Balancer, habilite el registro de acceso para su balanceador de carga y examine las entradas del registro de acceso correspondientes. Para obtener más información, consulte Registros de acceso de su Application Load Balancer. -
Puede restringir las políticas de seguridad que están disponibles para los usuarios en sus políticas Cuentas de AWS y AWS Organizations mediante las claves de condición de Elastic Load Balancing en sus políticas IAM y de control de servicios (SCPs), respectivamente. Para obtener más información, consulte las políticas de control de servicios (SCPs) en la Guía del AWS Organizations usuario
-
Los balanceadores de carga de aplicaciones permiten TLS la reanudación mediante PSK (TLS1.3) y tickets de IDs sesión/sesión (TLS1.2 y versiones anteriores). Las reanudaciones solo se admiten en conexiones a la misma dirección IP de Application Load Balancer. La función 0- RTT Data y la extensión early_data no están implementadas.
Puede describir los protocolos y los cifrados mediante el describe-ssl-policies AWS CLI comando o consultar las tablas siguientes.
Políticas de seguridad
TLSpolíticas de seguridad
Puede utilizar las políticas de TLS seguridad para cumplir con las normas de conformidad y seguridad que exigen la desactivación de determinadas versiones de TLS protocolos, o para dar soporte a los clientes antiguos que requieren cifrados obsoletos.
Protocolos por política
En la siguiente tabla se describen los protocolos que admite cada política de TLS seguridad.
| Políticas de seguridad | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy- TLS13 -1-3-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Res-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-1-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-0-2021-06 | ||||
| ELBSecurityPolicy- TLS -1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy- TLS -1-2-2017-01 | ||||
| ELBSecurityPolicy- TLS -1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 | ||||
| ELBSecurityPolicy-2015-05 |
Cifrados por política
En la siguiente tabla se describen los cifrados que admite cada política TLS de seguridad.
| Política de seguridad | Cifrados |
|---|---|
| ELBSecurityPolicy- TLS13 -1-3-2021-06 |
|
| ELBSecurityPolicy- -1-2-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-Res-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-Ext2-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-Ext1-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-1-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-0-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-Ext-2018-06 TLS |
|
| ELBSecurityPolicy- TLS -1-2-2017-01 |
|
| ELBSecurityPolicy- TLS -1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
| ELBSecurityPolicy-2015-05 |
|
Políticas por código
En la siguiente tabla se describen las políticas TLS de seguridad que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
Abrir SSL — TLS _ AES GCM _128_ _ SHA256 IANA— TLS _ _128_ _ AES GCM SHA256 |
|
1301 |
|
Abrir — _ _256_ _ SSL TLS AES GCM SHA384 IANA— TLS _ _256_ _ AES GCM SHA384 |
|
1302 |
|
Abierto SSL — TLS _ CHACHA2 POLY13 0_ 05_ SHA256 IANA— TLS _ 0_ 05_ CHACHA2 POLY13 SHA256 |
|
1303 |
|
Abierto SSL — ECDHE-ECDSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Abierto SSL — ECDHE-RSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Abierto SSL — 128 - ECDHE-ECDSA-AES SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Abierto SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Abierto SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Abierto SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
c02c |
|
Abierto SSL — ECDHE-RSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
c030 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Abierto SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c028 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Abierto SSL — 256 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c014 |
|
Abrir SSL — AES128 - - GCM SHA256 IANA— TLS _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
9c |
|
Abrir SSL — - AES128 SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
3c |
|
Abrir SSL — - AES128 SHA IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA |
|
2 f |
|
Abrir SSL — AES256 - - GCM SHA384 IANA— TLS _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
9d |
|
Abrir SSL — - AES256 SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA256 |
|
3d |
|
Abrir SSL — AES256 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA |
|
35 |
FIPSpolíticas de seguridad
importante
Todos los oyentes seguros conectados a un Application Load Balancer deben usar políticas de seguridad FIPS o políticas que no sean de FIPS seguridad; no se pueden mezclar. Si un Application Load Balancer existente tiene dos o más oyentes que no utilizan FIPS políticas y desea que los oyentes usen políticas de FIPS seguridad en su lugar, elimine todos los oyentes hasta que solo quede uno. Cambie la política de seguridad del agente de escucha a FIPS y, a continuación, cree más agentes de escucha mediante políticas de seguridad. FIPS Como alternativa, puede crear un nuevo Application Load Balancer con nuevos oyentes utilizando únicamente FIPS políticas de seguridad.
El Estándar Federal de Procesamiento de la Información (FIPS) es un estándar gubernamental de EE. UU. y Canadá que especifica los requisitos de seguridad de los módulos criptográficos que protegen la información confidencial. Para obtener más información, consulte la Norma federal de procesamiento de información (FIPS) 140
Todas FIPS las políticas utilizan el módulo criptográfico FIPS validado por el AWS LC. Para obtener más información, consulte la página del módulo criptográfico AWS -LC
importante
Las políticas ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 y ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 se proporcionan únicamente para garantizar la compatibilidad con versiones anteriores. Si bien utilizan la FIPS criptografía mediante el módulo FIPS14 0, es posible que no se ajusten a las NIST directrices de TLS configuración más recientes.
Protocolos por política
En la siguiente tabla se describen los protocolos que admite cada política de FIPS seguridad.
| Políticas de seguridad | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy- TLS13 -1-3- FIPS -2023-04 | ||||
| ELBSecurityPolicy- TLS13 -1-2- FIPS -2023-04 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Res- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext2- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext1- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext0- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-1- FIPS -2023-04 | ||||
| ELBSecurityPolicy- TLS13 -1-0- FIPS -2023-04 |
Cifras por política
En la siguiente tabla se describen los cifrados que admite cada política FIPS de seguridad.
| Política de seguridad | Cifrados |
|---|---|
| ELBSecurityPolicy- TLS13 -1-3- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Res- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext2- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext1- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext0- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-1- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-0- -2023-04 FIPS |
|
Políticas por cifrado
En la siguiente tabla se describen las políticas FIPS de seguridad que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
Abrir SSL — TLS _ AES GCM _128_ _ SHA256 IANA— TLS _ _128_ _ AES GCM SHA256 |
|
1301 |
|
Abrir — _ _256_ _ SSL TLS AES GCM SHA384 IANA— TLS _ _256_ _ AES GCM SHA384 |
|
1302 |
|
Abierto SSL — ECDHE-ECDSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Abierto SSL — ECDHE-RSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Abierto SSL — 128 - ECDHE-ECDSA-AES SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Abierto SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Abierto SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Abierto SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
c02c |
|
Abierto SSL — ECDHE-RSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
c030 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Abierto SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c028 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Abierto SSL — 256 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c014 |
|
Abrir SSL — AES128 - - GCM SHA256 IANA— TLS _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
9 cm |
|
Abrir SSL — - AES128 SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
3c |
|
Abrir SSL — - AES128 SHA IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA |
|
2 pies |
|
Abrir SSL — AES256 - - GCM SHA384 IANA— TLS _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
9d |
|
Abrir SSL — - AES256 SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA256 |
|
3d |
|
Abrir SSL — AES256 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA |
|
35 |
Para las políticas admitidas
Las políticas de seguridad compatibles con FS (Forward Secrecy) ofrecen salvaguardias adicionales contra la intromisión de datos cifrados, mediante el uso de una clave de sesión aleatoria única. Esto impide la decodificación de los datos capturados, incluso si la clave secreta a largo plazo está comprometida.
Protocolos por política
En la siguiente tabla se describen los protocolos que admite cada política de seguridad compatible con FS.
| Políticas de seguridad | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-RES-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-RES-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
Cifrados por política
En la siguiente tabla se describen los cifrados que admite cada política de seguridad compatible con FS.
| Política de seguridad | Cifrados |
|---|---|
| ELBSecurityPolicy-FS-1-2-RES-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-RES-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
Políticas por cifrado
En la siguiente tabla se describen las políticas de seguridad compatibles con FS que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
Abrir SSL — ECDHE-ECDSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Abierto SSL — ECDHE-RSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Abierto SSL — 128 - ECDHE-ECDSA-AES SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Abierto SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Abierto SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Abierto SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
c02c |
|
Abierto SSL — ECDHE-RSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
c030 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Abierto SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c028 |
|
Abierto SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Abierto SSL — 256 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c014 |
