Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques de sécurité pour votre Application Load Balancer
Elastic Load Balancing utilise une configuration de négociation Secure Socket Layer (SSL), connue sous le nom de politique de sécurité, pour négocier les SSL connexions entre un client et l'équilibreur de charge. Une stratégie de sécurité est une combinaison de protocoles et de chiffrements. Le protocole établit une connexion sécurisée entre un client et un serveur, et s'assure que toutes les données transmises entre le client et votre équilibreur de charge sont privées. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Les protocoles utilisent plusieurs chiffrements pour chiffrer les données sur Internet. Pendant le processus de négociation de connexion , le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. Par défaut, le premier chiffrement sur la liste du serveur qui correspond à l'un des chiffrements du client est sélectionné pour la connexion sécurisée.
Considérations
-
Les équilibreurs de charge d'application prennent en charge la SSL renégociation pour les connexions cibles uniquement.
-
Application Load Balancers ne prennent pas en charge les politiques de sécurité personnalisées.
-
Il s'agit
ELBSecurityPolicy-TLS13-1-2-2021-06de la politique de sécurité par défaut pour les HTTPS écouteurs créés à l'aide du AWS Management Console. -
Il s'agit
ELBSecurityPolicy-2016-08de la politique de sécurité par défaut pour les HTTPS écouteurs créés à l'aide du AWS CLI. -
Lorsque vous créez un HTTPS écouteur, il est nécessaire de sélectionner une politique de sécurité.
-
Nous recommandons la politique
ELBSecurityPolicy-TLS13-1-2-2021-06de sécurité, qui inclut la version TLS 1.3 et qui est rétrocompatible avec la version TLS 1.2.
-
-
Vous pouvez choisir la politique de sécurité qui est utilisée pour les connexions frontales, mais pas pour les connexions dorsales.
-
Pour les connexions dorsales, si l'un de vos HTTPS écouteurs utilise une politique de sécurité TLS 1.3, c'est la politique de
ELBSecurityPolicy-TLS13-1-0-2021-06sécurité qui est utilisée. Dans le cas contraire, la stratégie de sécuritéELBSecurityPolicy-2016-08est utilisée pour les connexions backend.
-
-
Pour respecter les normes de conformité et de sécurité qui nécessitent la désactivation de certaines versions de TLS protocole, ou pour prendre en charge les anciens clients nécessitant des chiffrements obsolètes, vous pouvez utiliser l'une des politiques de sécurité.
ELBSecurityPolicy-TLS-Pour consulter la version du TLS protocole pour les demandes adressées à votre Application Load Balancer, activez la journalisation des accès pour votre équilibreur de charge et examinez les entrées du journal d'accès correspondantes. Pour plus d'informations, consultez les journaux d'accès de votre Application Load Balancer. -
Vous pouvez restreindre les politiques de sécurité accessibles aux utilisateurs de votre pays Comptes AWS et en AWS Organizations utilisant les clés de condition Elastic Load Balancing dans vos IAM politiques de contrôle des services (SCPs), respectivement. Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur
-
Les équilibreurs de charge des applications prennent en charge TLS la reprise en utilisant PSK (TLS1.3) et des tickets de IDs session/session (TLS1.2 et versions antérieures). Les reprises ne sont prises en charge que dans les connexions à la même adresse IP d'Application Load Balancer. La fonctionnalité 0- RTT Data et l'extension early_data ne sont pas implémentées.
Vous pouvez décrire les protocoles et les chiffrements à l'aide de la describe-ssl-policies AWS CLI commande ou consulter les tableaux ci-dessous.
Stratégies de sécurité
TLSpolitiques de sécurité
Vous pouvez utiliser les politiques TLS de sécurité pour respecter les normes de conformité et de sécurité qui nécessitent la désactivation de certaines versions de TLS protocole, ou pour prendre en charge les anciens clients qui nécessitent des chiffrements obsolètes.
Protocoles par politique
Le tableau suivant décrit les protocoles pris en charge par chaque politique de TLS sécurité.
| Stratégies de sécurité | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy- TLS13 -1-3-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Res-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Poste 2-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Poste 1-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-1-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-0-2021-06 | ||||
| ELBSecurityPolicy- TLS -1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy- TLS -1-2-2017-01 | ||||
| ELBSecurityPolicy- TLS -1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 | ||||
| ELBSecurityPolicy-2015-05 |
Chiffrements par politique
Le tableau suivant décrit les chiffrements pris en charge par chaque politique TLS de sécurité.
| Politique de sécurité | Chiffrements |
|---|---|
| ELBSecurityPolicy- TLS13 -1-3-2021-06 |
|
| ELBSecurityPolicy- TLS13 -1-2-2021-06 |
|
| ELBSecurityPolicy- TLS13 -1-2-Res-2021-06 |
|
| ELBSecurityPolicy- TLS13 -1-2-Poste 2-2021-06 |
|
| ELBSecurityPolicy- TLS13 -1-2-Poste 1-2021-06 |
|
| ELBSecurityPolicy- TLS13 -1-1-2021-06 |
|
| ELBSecurityPolicy- TLS13 -1-0-2021-06 |
|
| ELBSecurityPolicy- TLS -1-2-Ext-2018-06 |
|
| ELBSecurityPolicy- TLS -1-2-2017-01 |
|
| ELBSecurityPolicy- TLS -1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
| ELBSecurityPolicy-2015-05 |
|
Politiques par chiffrement
Le tableau suivant décrit les politiques TLS de sécurité qui prennent en charge chaque chiffrement.
| Nom du chiffrement | Stratégies de sécurité | Suite de chiffrement |
|---|---|---|
|
Ouvert SSL — TLS _ AES GCM _128_ _ SHA256 IANA— TLS _ AES GCM _128_ _ SHA256 |
|
1301 |
|
Ouvert SSL — TLS _ AES GCM _256_ _ SHA384 IANA— TLS _ AES GCM _256_ _ SHA384 |
|
1302 |
|
Ouvert SSL — TLS _ CHACHA2 0_ 05_ POLY13 SHA256 IANA— TLS _ CHACHA2 0_ 05_ POLY13 SHA256 |
|
1303 |
|
Ouvert SSL — ECDHE-ECDSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Ouvert SSL — ECDHE-RSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Ouvert SSL — ECDHE-ECDSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Ouvert SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Ouvert SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Ouvert SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
c02c |
|
Ouvert SSL — ECDHE-RSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
C030 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Ouvert SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c028 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Ouvert SSL — ECDHE-RSA-AES 256- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c014 |
|
Ouvert SSL — AES128 - GCM - SHA256 IANA— TLS _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
9c |
|
Ouvert SSL — AES128 - SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
3c |
|
Ouvert SSL — AES128 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA |
|
2f |
|
Ouvert SSL — AES256 - GCM - SHA384 IANA— TLS _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
9d |
|
Ouvert SSL — AES256 - SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA256 |
|
3d |
|
Ouvert SSL — AES256 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA |
|
35 |
FIPSpolitiques de sécurité
Important
Tous les écouteurs sécurisés connectés à un Application Load Balancer doivent utiliser FIPS des politiques de sécurité ou des politiques non liées à la sécurité FIPS ; elles ne peuvent pas être combinées. Si un Application Load Balancer existant possède au moins deux écouteurs n'utilisant pas de FIPS politiques et que vous souhaitez qu'ils utilisent plutôt des politiques de FIPS sécurité, supprimez tous les écouteurs jusqu'à ce qu'il n'y en ait qu'un seul. Modifiez la politique de sécurité de l'écouteur en FIPS puis créez-en d'autres à l'aide de politiques FIPS de sécurité. Vous pouvez également créer un nouvel Application Load Balancer avec de nouveaux écouteurs en utilisant uniquement FIPS des politiques de sécurité.
La norme fédérale de traitement de l'information (FIPS) est une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Pour en savoir plus, consultez la norme fédérale de traitement de l'information (FIPS) 140
Toutes les FIPS politiques exploitent le AWS module cryptographique FIPS validé -LC. Pour en savoir plus, consultez la page du module cryptographique AWS -LC
Important
Les politiques ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 sont fournies uniquement à des fins de compatibilité avec les anciennes versions. Bien qu'ils utilisent la FIPS cryptographie à l'aide du module FIPS14 0, ils peuvent ne pas être conformes aux dernières NIST directives de TLS configuration.
Protocoles par politique
Le tableau suivant décrit les protocoles pris en charge par chaque politique de FIPS sécurité.
| Stratégies de sécurité | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy- TLS13 -1-3- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Res- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Poste 2- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Poste 1- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Poste 0- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-1- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-0- FIPS -2023-04 |
Chiffrements par politique
Le tableau suivant décrit les chiffrements pris en charge par chaque politique FIPS de sécurité.
| Politique de sécurité | Chiffrements |
|---|---|
| ELBSecurityPolicy- TLS13 -1-3- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Res- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Poste 2- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Poste 1- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Poste 0- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-1- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-0- FIPS -2023-04 |
|
Politiques par chiffrement
Le tableau suivant décrit les politiques FIPS de sécurité qui prennent en charge chaque chiffrement.
| Nom du chiffrement | Stratégies de sécurité | Suite de chiffrement |
|---|---|---|
|
Ouvert SSL — TLS _ AES GCM _128_ _ SHA256 IANA— TLS _ AES GCM _128_ _ SHA256 |
|
1301 |
|
Ouvert SSL — TLS _ AES GCM _256_ _ SHA384 IANA— TLS _ AES GCM _256_ _ SHA384 |
|
1302 |
|
Ouvert SSL — ECDHE-ECDSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Ouvert SSL — ECDHE-RSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Ouvert SSL — ECDHE-ECDSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Ouvert SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Ouvert SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Ouvert SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
c02c |
|
Ouvert SSL — ECDHE-RSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
C030 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Ouvert SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c028 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Ouvert SSL — ECDHE-RSA-AES 256- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c014 |
|
Ouvert SSL — AES128 - GCM - SHA256 IANA— TLS _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
9c |
|
Ouvert SSL — AES128 - SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
3c |
|
Ouvert SSL — AES128 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA |
|
2f |
|
Ouvert SSL — AES256 - GCM - SHA384 IANA— TLS _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
9d |
|
Ouvert SSL — AES256 - SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA256 |
|
3d |
|
Ouvert SSL — AES256 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA |
|
35 |
Politiques FS prises en charge
Les politiques de sécurité prises en charge par FS (Forward Secrecy) fournissent des garanties supplémentaires contre l'écoute de données cryptées, grâce à l'utilisation d'une clé de session aléatoire unique. Cela empêche le décodage des données capturées, même si la clé secrète à long terme est compromise.
Protocoles par politique
Le tableau suivant décrit les protocoles pris en charge par chaque politique de sécurité prise en charge par FS.
| Stratégies de sécurité | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-RES-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-RES-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
Chiffrements par politique
Le tableau suivant décrit les chiffrements pris en charge par chaque politique de sécurité prise en charge par FS.
| Politique de sécurité | Chiffrements |
|---|---|
| ELBSecurityPolicy-FS-1-2-RES-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-RES-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
Politiques par chiffrement
Le tableau suivant décrit les politiques de sécurité prises en charge par FS qui prennent en charge chaque chiffrement.
| Nom du chiffrement | Stratégies de sécurité | Suite de chiffrement |
|---|---|---|
|
Ouvert SSL — ECDHE-ECDSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Ouvert SSL — ECDHE-RSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Ouvert SSL — ECDHE-ECDSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Ouvert SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Ouvert SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Ouvert SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
c02c |
|
Ouvert SSL — ECDHE-RSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
C030 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Ouvert SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c028 |
|
Ouvert SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Ouvert SSL — ECDHE-RSA-AES 256- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c014 |
