Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pendengar TLS untuk Penyeimbang Beban Jaringan Anda
Untuk menggunakan pendengar TLS, Anda harus menyebarkan setidaknya satu sertifikat server pada penyeimbang beban Anda. Penyeimbang beban menggunakan sertifikat server untuk mengakhiri koneksi front-end dan kemudian mendekripsi permintaan dari klien sebelum mengirim mereka ke target. Perhatikan bahwa jika Anda perlu meneruskan lalu lintas terenkripsi ke target tanpa penyeimbang beban mendekripsi, buat pendengar TCP di port 443 alih-alih membuat pendengar TLS. Penyeimbang beban meneruskan permintaan ke target apa adanya, tanpa mendekripsi.
Elastic Load Balancing menggunakan konfigurasi negosiasi TLS, dikenal sebagai kebijakan keamanan, untuk menegosiasikan koneksi TLS antara klien dan penyeimbang beban. Kebijakan keamanan adalah kombinasi dari protokol dan sandi. Protokol membuat koneksi aman antara klien dan server dan memastikan bahwa semua data yang diteruskan antara klien dan penyeimbang beban Anda bersifat pribadi. Sandi adalah algoritme enkripsi yang menggunakan kunci enkripsi untuk membuat pesan kode. Protokol menggunakan beberapa sandi untuk mengenkripsi data melalui internet. Selama proses negosiasi koneksi, klien dan penyeimbang beban menyajikan daftar cipher dan protokol yang masing-masing mendukung, dalam urutan preferensi. Cipher pertama pada daftar server yang cocok salah satu klien cipher dipilih untuk koneksi aman.
Network Load Balancers tidak mendukung negosiasi ulang TLS atau otentikasi TLS bersama (mTLS). Untuk dukungan mTLS, buat pendengar TCP alih-alih pendengar TLS. Penyeimbang beban melewati permintaan apa adanya, sehingga Anda dapat menerapkan mTL pada target.
Untuk membuat pendengar TLS, lihat Tambahkan pendengar. Untuk demo terkait, lihat Support TLS pada Penyeimbang Beban Jaringan
Sertifikat server
Penyeimbang beban memerlukan sertifikat X.509 (sertifikat server). Sertifikat adalah bentuk digital identifikasi yang dikeluarkan oleh otoritas sertifikat (CA). Sertifikat berisi informasi identifikasi, masa berlaku, kunci publik, nomor seri, dan tanda tangan digital penerbit.
Ketika Anda membuat sertifikat untuk digunakan dengan penyeimbang beban Anda, Anda harus menentukan nama domain. Nama domain pada sertifikat harus cocok dengan catatan nama domain khusus sehingga kami dapat memverifikasi koneksi TLS. Jika mereka tidak cocok, lalu lintas tidak dienkripsi.
Anda harus menentukan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk sertifikat Anda, seperti www.example.com
atau nama domain apex seperti. example.com
Anda juga dapat menggunakan tanda bintang (*) sebagai kartu liar untuk melindungi beberapa nama situs di domain yang sama. Saat Anda meminta sertifikat kartu liar, tanda bintang (*) harus berada di posisi paling kiri dari nama domain dan hanya dapat melindungi satu tingkat subdomain. Misalnya, *.example.com
melindungicorp.example.com
, danimages.example.com
, tetapi tidak dapat melindungitest.login.example.com
. Perhatikan juga bahwa *.example.com
melindungi hanya subdomain dariexample.com
, itu tidak melindungi domain telanjang atau apex (). example.com
Nama kartu liar muncul di bidang Subjek dan di ekstensi Nama Alternatif Subjek sertifikat. Untuk informasi selengkapnya tentang sertifikat publik, lihat Meminta sertifikat publik di Panduan AWS Certificate Manager Pengguna.
Kami menyarankan Anda membuat sertifikat untuk penyeimbang beban Anda menggunakan AWS Certificate Manager (ACM)
Atau, Anda dapat menggunakan alat TLS untuk membuat permintaan penandatanganan sertifikat (CSR), lalu mendapatkan CSR yang ditandatangani oleh CA untuk menghasilkan sertifikat, lalu mengimpor sertifikat ke ACM atau mengunggah sertifikat ke (IAM). AWS Identity and Access Management Untuk informasi selengkapnya, lihat Mengimpor sertifikat di Panduan Pengguna AWS Certificate Manager atau Bekerja dengan sertifikat server di Panduan Pengguna IAM.
Algoritma kunci yang didukung
RSA 1024-bit
RSA 2048-bit
RSA 3072-bit
ECDSA 256-bit
ECDSA 384-bit
ECDSA 521-bit
Sertifikat default
Bila Anda membuat pendengar TLS, Anda harus menentukan tepat satu sertifikat. Sertifikat ini dikenal sebagai Sertifikat default. Anda dapat mengganti sertifikat default setelah Anda membuat TLS pendengar. Untuk informasi selengkapnya, lihat Ganti sertifikat default.
Jika Anda menentukan sertifikat tambahan di daftar sertifikat, sertifikat default hanya digunakan jika klien tersambung tanpa menggunakan protokol Indikasi Nama Server (SNI) untuk menentukan nama host atau jika tidak ada sertifikat yang cocok dalam daftar sertifikat.
Jika Anda tidak menentukan sertifikat tambahan tetapi perlu menghosting beberapa aplikasi aman melalui penyeimbang beban tunggal, Anda dapat menggunakan sertifikat wildcard atau menambahkan Nama Alternatif Subjek (SAN) untuk setiap domain tambahan ke sertifikat Anda.
Daftar sertifikat
Setelah Anda membuat pendengar TLS, ini memiliki sertifikat default dan daftar sertifikat kosong. Anda dapat menambahkan sertifikat ke daftar sertifikat untuk pendengar. Menggunakan daftar sertifikat memungkinkan penyeimbang beban untuk mendukung beberapa domain pada port yang sama dan memberikan sertifikat yang berbeda untuk setiap domain. Untuk informasi selengkapnya, lihat Menambahkan sertifikat ke daftar sertifikat.
Penyeimbang beban menggunakan algoritme pemilihan sertifikat cerdas dengan dukungan SNI. Jika nama host yang disediakan oleh klien cocok dengan satu sertifikat dalam daftar sertifikat, penyeimbang beban akan memilih sertifikat ini. Jika nama host yang disediakan oleh klien cocok dengan beberapa sertifikat dalam daftar sertifikat, penyeimbang beban memilih sertifikat terbaik yang dapat didukung klien. Pemilihan sertifikat didasarkan pada kriteria dalam urutan sebagai berikut:
-
Algoritme hashing (lebih suka SHA daripada MD5)
-
Panjang kunci (lebih memilih yang terbesar)
-
Masa berlaku
Entri log akses penyeimbang beban menunjukkan nama host yang ditentukan oleh klien dan sertifikat yang diberikan kepada klien. Untuk informasi selengkapnya, lihat Entri akses log.
Perpanjangan sertifikat
Setiap sertifikat memiliki masa berlaku. Anda harus memastikan bahwa Anda memperpanjang atau mengganti setiap sertifikat untuk penyeimbang beban Anda sebelum masa berlakunya berakhir. Ini termasuk sertifikat default dan sertifikat dalam daftar sertifikat. Memperpanjang atau mengganti sertifikat tidak memengaruhi permintaan dalam penerbangan yang diterima oleh node penyeimbang beban dan sedang menunggu perutean ke target yang sehat. Setelah sertifikat diperpanjang, permintaan baru menggunakan akan menggunakan sertifikat yang telah diperpanjang. Setelah sertifikat diganti, permintaan baru akan menggunakan sertifikat baru.
Anda dapat mengelola perpanjangan sertifikat dan penggantian sebagai berikut:
-
Sertifikat yang disediakan oleh AWS Certificate Manager dan digunakan pada penyeimbang beban Anda dapat diperbarui secara otomatis. ACM mencoba untuk memperpanjang sertifikat sebelum masa berlakunya habis. Untuk informasi lebih lanjut, lihat Perpanjangan Terkelola dalam AWS Certificate Manager Panduan Pengguna.
-
Jika Anda mengimpor sertifikat ke ACM, Anda harus memantau tanggal kedaluwarsa sertifikat dan memperpanjang masa berlakunya sebelum kedaluwarsa. Untuk informasi lebih lanjut, lihat Mengimpor sertifikat di AWS Certificate Manager Panduan Pengguna.
-
Jika Anda mengimpor sertifikat ke IAM, Anda harus membuat sertifikat baru, mengimpor sertifikat baru ke ACM atau IAM, menambahkan sertifikat baru ke penyeimbang beban Anda, dan menghapus sertifikat yang kedaluwarsa dari penyeimbang beban Anda.
Kebijakan Keamanan
Ketika Anda membuat pendengar TLS, Anda harus memilih kebijakan keamanan. Anda dapat memperbarui kebijakan keamanan yang diperlukan. Untuk informasi selengkapnya, lihat Memperbarui kebijakan keamanan.
Pertimbangan:
-
ELBSecurityPolicy-TLS13-1-2-2021-06
Kebijakan ini adalah kebijakan keamanan default untuk pendengar TLS yang dibuat menggunakan. AWS Management Console-
Kami merekomendasikan kebijakan
ELBSecurityPolicy-TLS13-1-2-2021-06
keamanan, yang mencakup TLS 1.3, dan kompatibel dengan TLS 1.2.
-
-
ELBSecurityPolicy-2016-08
Kebijakan ini adalah kebijakan keamanan default untuk pendengar TLS yang dibuat menggunakan. AWS CLI -
Anda dapat memilih kebijakan keamanan yang digunakan untuk koneksi front-end, tetapi tidak koneksi backend.
-
Untuk koneksi backend, jika pendengar TLS Anda menggunakan kebijakan keamanan TLS 1.3, kebijakan keamanan akan digunakan.
ELBSecurityPolicy-TLS13-1-0-2021-06
Jika tidak, kebijakanELBSecurityPolicy-2016-08
keamanan digunakan untuk koneksi backend.
-
-
Untuk memenuhi standar kepatuhan dan keamanan yang mengharuskan menonaktifkan versi protokol TLS tertentu, atau untuk mendukung klien lama yang membutuhkan cipher usang, Anda dapat menggunakan salah satu kebijakan keamanan.
ELBSecurityPolicy-TLS-
Anda dapat mengaktifkan log akses untuk informasi tentang permintaan TLS yang dikirim ke Network Load Balancer, menganalisis pola lalu lintas TLS, mengelola peningkatan kebijakan keamanan, dan memecahkan masalah. Aktifkan pencatatan akses untuk penyeimbang beban Anda dan periksa entri log akses yang sesuai. Untuk informasi selengkapnya, lihat Access Logs dan Contoh Query Network Load Balancer. -
Anda dapat membatasi kebijakan keamanan mana yang tersedia untuk pengguna di seluruh Anda Akun AWS dan AWS Organizations dengan menggunakan kunci kondisi Elastic Load Balancing di IAM dan kebijakan kontrol layanan (SCP) Anda. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan (SCP) di AWS Organizations Panduan Pengguna
Kebijakan keamanan TLS 1.3
Elastic Load Balancing menyediakan kebijakan keamanan TLS 1.3 berikut untuk Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-2-2021-06
(Direkomendasikan) -
ELBSecurityPolicy-TLS13-1-2-Res-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06
-
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06
-
ELBSecurityPolicy-TLS13-1-1-2021-06
-
ELBSecurityPolicy-TLS13-1-0-2021-06
-
ELBSecurityPolicy-TLS13-1-3-2021-06
Kebijakan keamanan FIPS
Federal Information Processing Standard (FIPS) adalah standar pemerintah AS dan Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. Untuk mempelajari lebih lanjut, lihat Federal Information Processing Standard (FIPS) 140
Semua kebijakan FIPS memanfaatkan modul kriptografi yang divalidasi AWS-LC FIPS. Untuk mempelajari lebih lanjut, lihat halaman Modul Kriptografi AWS-LC di situs Program Validasi Modul
Elastic Load Balancing menyediakan kebijakan keamanan FIPS berikut untuk Network Load Balancer:
-
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
(Direkomendasikan) -
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04
-
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04
Kebijakan yang didukung FS
Elastic Load Balancing menyediakan kebijakan keamanan yang didukung FS (Forward Secrecy) berikut untuk Network Load Balancer:
-
ELBSecurityPolicy-FS-1-2-Res-2020-10
-
ELBSecurityPolicy-FS-1-2-Res-2019-08
-
ELBSecurityPolicy-FS-1-2-2019-08
-
ELBSecurityPolicy-FS-1-1-2019-08
-
ELBSecurityPolicy-FS-2018-06
Kebijakan keamanan TLS 1.0 - 1.2
Elastic Load Balancing menyediakan kebijakan keamanan TLS 1.0 - 1.2 berikut untuk Network Load Balancer:
-
ELBSecurityPolicy-TLS-1-2-Ext-2018-06
-
ELBSecurityPolicy-TLS-1-2-2017-01
-
ELBSecurityPolicy-TLS-1-1-2017-01
-
ELBSecurityPolicy-2016-08
-
ELBSecurityPolicy-TLS-1-0-2015-04
-
ELBSecurityPolicy-2015-05
(identik denganELBSecurityPolicy-2016-08
)
Protokol dan cipher TLS
Kebijakan ALPN
Application-Layer Protocol Negotation (ALPN) adalah ekstensi TLS yang dikirim pada pesan hello TLS jabat tangan awal. ALPN memungkinkan lapisan aplikasi untuk menegosiasikan protokol mana yang harus digunakan melalui koneksi aman, seperti HTTP/1 dan HTTP/2.
Ketika klien memulai koneksi ALPN, penyeimbang beban membandingkan daftar preferensi ALPN klien dengan kebijakan ALPN. Jika klien mendukung protokol dari kebijakan ALPN, penyeimbang beban menetapkan sambungan berdasarkan daftar preferensi kebijakan ALPN. Jika tidak, penyeimbang beban tidak menggunakan ALPN.
Kebijakan ALPN yang didukung
Berikut ini adalah kebijakan ALPN yang didukung:
HTTP1Only
-
Negosiasi hanya HTTP/1.*. Daftar preferensi ALPN adalah http/1.1, http/1.0.
HTTP2Only
-
Negosiasi hanya HTTP/2. Daftar preferensi ALPN adalah h2.
HTTP2Optional
-
Lebih suka HTTP/1.* daripada HTTP/2 (yang dapat berguna untuk pengujian HTTP/2). Daftar preferensi ALPN adalah http/1.1, http/1.0, h2.
HTTP2Preferred
-
Lebih suka HTTP/2 daripada HTTP/1.*. Daftar preferensi ALPN adalah h2, http/1.1, http/1.0.
None
-
Jangan bernegosiasi ALPN. Ini adalah pengaturan default.
Aktifkan Koneksi ALPN
Anda dapat mengaktifkan koneksi ALPN ketika Anda membuat atau mengubah pendengar TLS. Untuk informasi lebih lanjut, lihat Tambahkan pendengar dan Memperbarui kebijakan ALPN.