Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de seguridad para el Equilibrador de carga de aplicación
Elastic Load Balancing utiliza una configuración de negociación de capa de conexión segura (SSL), conocida como política de seguridad, para negociar las conexiones SSL entre un cliente y el equilibrador de carga. Una política de seguridad es una combinación de protocolos y cifrados. El protocolo establece una conexión segura entre un cliente y un servidor, y garantiza que todos los datos transferidos entre el cliente y el equilibrador de carga son privados. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Los protocolos usan diversos cifrados para cifrar los datos a través de Internet. Durante el proceso de negociación de conexiones, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. De forma predeterminada, el primer cifrado que se va a seleccionar para la conexión segura será el primero de la lista del servidor que coincida con uno de los cifrados del cliente.
Consideraciones
-
Los Equilibradores de carga de aplicación solo admiten la renegociación de SSL para las conexiones de destino.
-
Los equilibradores de carga de aplicaciones no admiten políticas de seguridad personalizadas.
-
La política
ELBSecurityPolicy-TLS13-1-2-2021-06es la política de seguridad predeterminada para los oyentes de HTTPS creada con la AWS Management Console. -
La política
ELBSecurityPolicy-2016-08es la política de seguridad predeterminada para los oyentes de HTTPS creada con la AWS CLI. -
Al crear un oyente de HTTPS, debe seleccionar una política de seguridad.
-
Recomendamos la política de seguridad
ELBSecurityPolicy-TLS13-1-2-2021-06, que incluye TLS 1.3 y es retrocompatible con TLS 1.2.
-
-
Puede seleccionar la política de seguridad que se utiliza para las conexiones frontend, pero no para las conexiones backend.
-
En el caso de las conexiones de backend, si alguno de sus oyentes de HTTPS utiliza una política de seguridad de TLS 1.3, se utilizará la política de seguridad
ELBSecurityPolicy-TLS13-1-0-2021-06. De lo contrario, la política de seguridadELBSecurityPolicy-2016-08se utiliza con las conexiones de backend.
-
-
A fin de ajustarse a los estándares de seguridad y conformidad que requieren que se deshabiliten algunas versiones del protocolo TLS o para admitir clientes heredados que utilicen cifrados en desuso, puede usar una de las políticas de seguridad
ELBSecurityPolicy-TLS-. Para ver la versión del protocolo TLS para las solicitudes dirigidas al Equilibrador de carga de aplicación, habilite el registro de acceso del equilibrador de carga y examine las entradas de los registros de acceso correspondientes. Para obtener más información, consulte Registros de acceso del Equilibrador de carga de aplicación. -
Puede restringir las políticas de seguridad que están disponibles para los usuarios en sus políticas de IAM Cuentas de AWS y control de servicios () y AWS Organizations mediante ellas mediante las claves de condición de Elastic Load Balancing en sus políticas de IAM y de control de servicios (SCPs), respectivamente. Para obtener más información, consulte las políticas de control de servicios (SCPs) en la Guía del AWS Organizations usuario
-
Los balanceadores de carga de aplicaciones admiten la reanudación de TLS mediante PSK (TLS 1.3) y tickets de IDs sesión/sesión (TLS 1.2 y versiones anteriores). Las reanudaciones solo se admiten en conexiones a la misma dirección IP del Equilibrador de carga de aplicación. La característica 0-RTT Data y la extensión early_data no están implementadas.
Puede describir los protocolos y los cifrados mediante el describe-ssl-policies AWS CLI comando o consultar las tablas siguientes.
Políticas de seguridad
Políticas de seguridad de TLS
Puede utilizar las políticas de seguridad de TLS para ajustarse a los estándares de seguridad y conformidad que requieren que se deshabiliten ciertas versiones del protocolo TLS, o bien para admitir clientes heredados que requieren cifrados obsoletos.
Protocolos por política
En la siguiente tabla se detallan los protocolos que admite cada política de seguridad TLS.
| Políticas de seguridad | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolítica- -1-3-2021-06 TLS13 | ||||
| ELBSecurityPolítica- TLS13 -1-2-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-2-Res-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-2-Ext2-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-2-Ext1-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-1-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-0-2021-06 | ||||
| ELBSecurityPolítica-TLS-1-2-EXT-2018-06 | ||||
| ELBSecurityPolítica-TLS-1-2-2017-01 | ||||
| ELBSecurityPolítica-TLS-1-1-2017-01 | ||||
| ELBSecurityPolítica-2016-08 | ||||
| ELBSecurityPolítica-2015-05 |
Cifrados por política
En la siguiente tabla se detallan los cifrados que admite cada política de seguridad TLS.
| Política de seguridad | Cifrados |
|---|---|
| ELBSecurityPolítica- TLS13 -1-3-2021-06 |
|
| ELBSecurityPolítica- TLS13 -1-2-2021-06 |
|
| ELBSecurityPolítica- -1-2-Res-2021-06 TLS13 |
|
| ELBSecurityPolítica- TLS13 -1-2-Ext2-2021-06 |
|
| ELBSecurityPolítica- -1-2-Ext1-2021-06 TLS13 |
|
| ELBSecurityPolítica- -1-1-2021-06 TLS13 |
|
| ELBSecurityPolítica- -1-0-2021-06 TLS13 |
|
| ELBSecurityPolítica-TLS-1-2-EXT-2018-06 |
|
| ELBSecurityPolítica-TLS-1-2-2017-01 |
|
| ELBSecurityPolítica-TLS-1-1-2017-01 |
|
| ELBSecurityPolítica-2016-08 |
|
| ELBSecurityPolítica-2015-05 |
|
Políticas por cifrado
En la siguiente tabla se detallan las políticas de seguridad TLS que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
OpenSSL: TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL: TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 IANA — TLS_ CHACHA2 0_ POLY13 05_ SHA256 |
|
1303 |
|
OpenSSL — 128-GCM - ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_CON_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — 128-GCM - ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 128- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_CON_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 128- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256 |
|
c027 |
|
ECDHE-ECDSA-AESOpenSSL: 128-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
ECDHE-RSA-AESOpenSSL: 128-SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — 256-GCM - ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_CON_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — 256-GCM - ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — 256- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_CON_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — 256- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384 |
|
c028 |
|
ECDHE-ECDSA-AESOpenSSL: 256-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
ECDHE-RSA-AESOpenSSL: 256-SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — -GCM- AES128 SHA256 IANA — TLS_RSA_CON_AES_128_GCM_ SHA256 |
|
9c |
|
OpenSSL — - AES128 SHA256 IANA — TLS_RSA_CON_AES_128_CBC_ SHA256 |
|
3c |
|
OpenSSL — SHA AES128 IANA: TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — -GCM- AES256 SHA384 IANA — TLS_RSA_CON_AES_256_GCM_ SHA384 |
|
9d |
|
OpenSSL — - AES256 SHA256 IANA — TLS_RSA_CON_AES_256_CBC_ SHA256 |
|
3d |
|
OpenSSL — SHA AES256 IANA: TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Políticas de seguridad FIPS
importante
Todos los oyentes seguros conectados a un Equilibrador de carga de aplicación deben usar políticas de seguridad FIPS o políticas de seguridad que no sean FIPS; recuerde que no se pueden mezclar. Si un Equilibrador de carga de aplicación existente tiene dos o más oyentes que utilizan políticas que no son FIPS y desea que los oyentes usen políticas de seguridad FIPS en su lugar, elimine todos los oyentes hasta que solo quede uno. Cambie la política de seguridad del oyente a FIPS y, a continuación, cree más oyentes mediante las políticas de seguridad de FIPS. Como alternativa, puede crear un nuevo Equilibrador de carga de aplicación con nuevos oyentes utilizando únicamente las políticas de seguridad FIPS.
El Estándar de procesamiento de la información federal (FIPS) es un estándar de seguridad de los gobiernos de EE. UU. y Canadá que especifica los requisitos de seguridad de los módulos criptográficos que protegen información confidencial. Para obtener más información, consulte Estándar de procesamiento de la información federal (FIPS) 140-3
Todas las políticas FIPS utilizan el módulo criptográfico AWS-LC validado para FIPS. Para obtener más información, consulte la página del módulo criptográfico AWS-LC
importante
Las políticas ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 y ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 se proporcionan únicamente para ofrecer compatibilidad con versiones heredadas. Si bien utilizan la criptografía FIPS mediante el módulo FIPS14 0, es posible que no se ajusten a las directrices más recientes del NIST para la configuración de TLS.
Protocolos por política
En la siguiente tabla se detallan los protocolos que admite cada política de seguridad FIPS.
| Políticas de seguridad | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityTLS13Política- -1-3-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-RES-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-EXT2-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-EXT1-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-EXT0-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-1-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-0-FIPS-2023-04 |
Cifrados por política
En la siguiente tabla se detallan los cifrados que admite cada política de seguridad FIPS.
| Política de seguridad | Cifrados |
|---|---|
| ELBSecurityPolítica- TLS13 -1-3-FIPS-2023-04 |
|
| ELBSecurityPolítica- -1-2-FIPS-2023-04 TLS13 |
|
| ELBSecurityPolítica- -1-2-RES-FIPS-2023-04 TLS13 |
|
| ELBSecurityPolítica- TLS13 -1-2-EXT2-FIPS-2023-04 |
|
| ELBSecurityPolítica- -1-2-EXT1-FIPS-2023-04 TLS13 |
|
| ELBSecurityPolítica- -1-2-EXT0-FIPS-2023-04 TLS13 |
|
| ELBSecurityPolítica- -1-1-FIPS-2023-04 TLS13 |
|
| ELBSecurityPolítica- -1-0-FIPS-2023-04 TLS13 |
|
Políticas por cifrado
En la siguiente tabla se detallan las políticas de seguridad FIPS que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
OpenSSL: TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL: TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — 128-GCM - ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_CON_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — 128-GCM - ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 128- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_CON_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 128- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256 |
|
c027 |
|
ECDHE-ECDSA-AESOpenSSL: 128-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
ECDHE-RSA-AESOpenSSL: 128-SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — 256-GCM - ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_CON_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — 256-GCM - ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — 256- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_CON_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — 256- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384 |
|
c028 |
|
ECDHE-ECDSA-AESOpenSSL: 256-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
ECDHE-RSA-AESOpenSSL: 256-SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — -GCM- AES128 SHA256 IANA — TLS_RSA_CON_AES_128_GCM_ SHA256 |
|
9c |
|
OpenSSL — - AES128 SHA256 IANA — TLS_RSA_CON_AES_128_CBC_ SHA256 |
|
3c |
|
OpenSSL — SHA AES128 IANA: TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — -GCM- AES256 SHA384 IANA — TLS_RSA_CON_AES_256_GCM_ SHA384 |
|
9d |
|
OpenSSL — - AES256 SHA256 IANA — TLS_RSA_CON_AES_256_CBC_ SHA256 |
|
3d |
|
OpenSSL — SHA AES256 IANA: TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Para las políticas admitidas
Las políticas de seguridad compatibles con FS (secreto hacia adelante) proporcionan protecciones adicionales contra el espionaje de datos cifrados mediante el uso de una clave de sesión aleatoria única. Esto impide la decodificación de los datos capturados, incluso si la clave secreta a largo plazo se ve comprometida.
Protocolos por política
En la siguiente tabla se detallan los protocolos que admite cada política de seguridad FS admitida.
| Políticas de seguridad | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolítica-FS-1-2-RES-2020-10 | ||||
| ELBSecurityPolítica-FS-1-2-RES-2019-08 | ||||
| ELBSecurityPolítica-FS-1-2-2019-08 | ||||
| ELBSecurityPolítica-FS-1-1-2019-08 | ||||
| ELBSecurityPolítica-FS-2018-06 |
Cifrados por política
En la siguiente tabla se detallan los cifrados que admite cada política de seguridad FS admitida.
| Política de seguridad | Cifrados |
|---|---|
| ELBSecurityPolítica-FS-1-2-RES-2020-10 |
|
| ELBSecurityPolítica-FS-1-2-RES-2019-08 |
|
| ELBSecurityPolítica-FS-1-2-2019-08 |
|
| ELBSecurityPolítica-FS-1-1-2019-08 |
|
| ELBSecurityPolítica-FS-2018-06 |
|
Políticas por cifrado
En la siguiente tabla se detallan las políticas de seguridad FS admitidas que admiten cada cifrado.
| Nombre del cifrado | Políticas de seguridad | Conjunto de cifrado |
|---|---|---|
|
OpenSSL — 128-GCM - ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_CON_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — 128-GCM - ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 128- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_CON_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 128- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256 |
|
c027 |
|
ECDHE-ECDSA-AESOpenSSL: 128-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
ECDHE-RSA-AESOpenSSL: 128-SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — 256-GCM - ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_CON_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — 256-GCM - ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — 256- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_CON_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — 256- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384 |
|
c028 |
|
ECDHE-ECDSA-AESOpenSSL: 256-SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
ECDHE-RSA-AESOpenSSL: 256-SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
