Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Politiche di sicurezza per il tuo Application Load Balancer
Elastic Load Balancing utilizza una configurazione di negoziazione Secure Socket Layer (SSL), nota come policy di sicurezza, per negoziare SSL le connessioni tra un client e il load balancer. Una policy di sicurezza è una combinazione di protocolli e codici. Il protocollo stabilisce una connessione sicura tra un client e un server e garantisce che tutti i dati trasferiti tra il client e il sistema di bilanciamento del carico siano privati. Un codice è un algoritmo di crittografia che utilizza chiavi di crittografia per creare un messaggio codificato. I protocolli utilizzano diversi codici per crittografare i dati su Internet. Durante il processo di negoziazione della connessione, il client e il sistema di bilanciamento del carico forniscono un elenco di crittografie e protocolli supportati, in ordine di preferenza. Per impostazione predefinita, la prima crittografia nell'elenco del server che corrisponde a una qualsiasi delle crittografie del client viene selezionata per la connessione sicura.
Considerazioni
-
Gli Application Load Balancer supportano la rinegoziazione solo per le connessioni di destinazioneSSL.
-
Gli Application Load Balancer non supportano policy di sicurezza personalizzate.
-
La
ELBSecurityPolicy-TLS13-1-2-2021-06politica è la politica di sicurezza predefinita per HTTPS i listener creata utilizzando. AWS Management Console -
Il
ELBSecurityPolicy-2016-08criterio è il criterio di sicurezza predefinito per i HTTPS listener creato utilizzando. AWS CLI -
Quando si crea un HTTPS listener, è necessario selezionare una politica di sicurezza.
-
Consigliamo la politica
ELBSecurityPolicy-TLS13-1-2-2021-06di sicurezza, che include la TLS versione 1.3 ed è retrocompatibile con TLS la 1.2.
-
-
È possibile scegliere la politica di sicurezza utilizzata per le connessioni front-end, ma non per le connessioni backend.
-
Per le connessioni di backend, se uno dei tuoi HTTPS listener utilizza una politica di sicurezza TLS 1.3, viene utilizzata la
ELBSecurityPolicy-TLS13-1-0-2021-06politica di sicurezza. In caso contrario, per le connessioni di back-end viene utilizzata la policy di sicurezzaELBSecurityPolicy-2016-08.
-
-
Per soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di determinate versioni TLS del protocollo o per supportare client legacy che richiedono cifrari obsoleti, puoi utilizzare una delle politiche di sicurezza.
ELBSecurityPolicy-TLS-Per visualizzare la versione del TLS protocollo per le richieste all'Application Load Balancer, abilita la registrazione degli accessi per il tuo load balancer ed esamina le voci del registro di accesso corrispondenti. Per ulteriori informazioni, consulta Access logs for your Application Load Balancer. -
Puoi limitare le policy di sicurezza disponibili per gli utenti in tutto il tuo Account AWS e AWS Organizations utilizzando le chiavi di condizione Elastic Load Balancing nelle tue IAM politiche di controllo del servizio (SCPs), rispettivamente. Per ulteriori informazioni, consulta Service control policies (SCPs) nella Guida per l'AWS Organizations utente
-
Gli Application Load Balancer supportano la TLS ripresa utilizzando PSK (TLS1.3) e i ticket di IDs sessione/sessione (TLS1.2 e versioni precedenti). Le riprese sono supportate solo nelle connessioni allo stesso indirizzo IP di Application Load Balancer. La funzionalità 0- RTT Data e l'estensione early_data non sono implementate.
È possibile descrivere i protocolli e i codici utilizzando il describe-ssl-policies AWS CLI comando o fare riferimento alle tabelle seguenti.
Policy di sicurezza
TLSpolitiche di sicurezza
È possibile utilizzare le politiche di TLS sicurezza per soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di determinate versioni TLS del protocollo o per supportare client legacy che richiedono cifrari obsoleti.
Protocolli per politica
La tabella seguente descrive i protocolli supportati da ciascuna politica TLS di sicurezza.
| Policy di sicurezza | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy- TLS13 -1-3-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Res-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-1-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-0-2021-06 | ||||
| ELBSecurityPolicy- TLS -1-2-otto-2018-06 | ||||
| ELBSecurityPolicy- TLS -1-2-2017-01 | ||||
| ELBSecurityPolicy- TLS -1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 | ||||
| ELBSecurityPolicy-2015-05 |
Cifre per politica
La tabella seguente descrive i codici supportati da ciascuna TLS politica di sicurezza.
| Policy di sicurezza | Crittografie |
|---|---|
| ELBSecurityPolicy- -1-3-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-Res-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-Ext2-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-Ext1-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-1-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-0-2021-06 TLS13 |
|
| ELBSecurityPolicy- -1-2-otto-2018-06 TLS |
|
| ELBSecurityPolicy- TLS -1-2-2017-01 |
|
| ELBSecurityPolicy- TLS -1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
| ELBSecurityPolicy-2015-05 |
|
Politiche per cifra
La tabella seguente descrive le politiche TLS di sicurezza che supportano ogni cifrario.
| Nome del cifrario | Policy di sicurezza | Suite di cifratura |
|---|---|---|
|
Apri SSL — TLS _ _128_ _ AES GCM SHA256 IANA— TLS _ _128_ _ AES GCM SHA256 |
|
1301 |
|
Aperto SSL — _ _256_ _ TLS AES GCM SHA384 IANA— TLS _ _256_ _ AES GCM SHA384 |
|
1302 |
|
Aperto SSL — TLS _ CHACHA2 0_ POLY13 05_ SHA256 IANA— TLS _ 0_ 05_ CHACHA2 POLY13 SHA256 |
|
1303 |
|
Aperto SSL — ECDHE-ECDSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Aperto SSL — ECDHE-RSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c 02f |
|
Aperto SSL — 128 - ECDHE-ECDSA-AES SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Aperto SSL — 128 - ECDHE-RSA-AES SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Aperto SSL — 128 - ECDHE-ECDSA-AES SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Aperto SSL — 128 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Aperto SSL — ECDHE-ECDSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
-c 02c |
|
Aperto SSL — ECDHE-RSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
c030 |
|
Aperto SSL — 256 - ECDHE-ECDSA-AES SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Aperto SSL — 256 - ECDHE-RSA-AES SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c-028 |
|
Aperto SSL — 256 - ECDHE-ECDSA-AES SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Aperto SSL — 256 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c014 |
|
Aperto SSL — - - AES128 GCM SHA256 IANA— TLS _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
9c |
|
Aperto SSL — - AES128 SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
3c |
|
Aperto SSL — - AES128 SHA IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA |
|
2f |
|
Aperto SSL — AES256 - - GCM SHA384 IANA— TLS _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
9d |
|
Aperto SSL — - AES256 SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA256 |
|
3d |
|
Apri SSL — AES256 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA |
|
35 |
FIPSpolitiche di sicurezza
Importante
Tutti i listener sicuri collegati a un Application Load Balancer devono utilizzare criteri di sicurezza FIPS o criteri non FIPS di sicurezza; non possono essere combinati. Se un Application Load Balancer esistente ha due o più listener che non utilizzano FIPS policy e desideri che i listener utilizzino invece policy di FIPS sicurezza, rimuovi tutti i listener finché non ce ne sia uno solo. Modificate la politica di sicurezza del listener FIPS e quindi create altri listener utilizzando le policy di sicurezza. FIPS In alternativa, è possibile creare un nuovo Application Load Balancer con nuovi listener utilizzando solo FIPS policy di sicurezza.
Il Federal Information Processing Standard (FIPS) è uno standard governativo statunitense e canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. Per ulteriori informazioni, consulta Federal Information Processing Standard (FIPS) 140
Tutte le FIPS politiche sfruttano il modulo crittografico FIPS convalidato AWS -LC. Per saperne di più, consulta la pagina del modulo crittografico AWS-LC sul sito del Cryptographic Module
Importante
Le politiche ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 e ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 sono fornite solo per la compatibilità con le versioni precedenti. Sebbene utilizzino la FIPS crittografia utilizzando il modulo FIPS14 0, potrebbero non essere conformi alle ultime NIST linee guida per la configurazione. TLS
Protocolli per politica
La tabella seguente descrive i protocolli supportati da ciascuna politica FIPS di sicurezza.
| Policy di sicurezza | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy- TLS13 -1-3- FIPS -2023-04 | ||||
| ELBSecurityPolicy- -1-2- -2023-04 TLS13 FIPS | ||||
| ELBSecurityPolicy- -1-2-risoluzione- -2023-04 TLS13 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext2- FIPS -2023-04 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Est1- FIPS -2023-04 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Esto0- FIPS -2023-04 | ||||
| ELBSecurityPolicy- TLS13 -1-1- FIPS -2023-04 | ||||
| ELBSecurityPolicy- -1-0- -2023-04 TLS13 FIPS |
Cifre per politica
La tabella seguente descrive i codici supportati da ciascuna FIPS politica di sicurezza.
| Policy di sicurezza | Crittografie |
|---|---|
| ELBSecurityPolicy- TLS13 -1-3- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-risoluzione- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext2- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext1- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext0- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-1- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-0- -2023-04 FIPS |
|
Politiche per cifratura
La tabella seguente descrive le politiche FIPS di sicurezza che supportano ogni cifrario.
| Nome del cifrario | Policy di sicurezza | Suite di cifratura |
|---|---|---|
|
Apri SSL — TLS _ _128_ _ AES GCM SHA256 IANA— TLS _ _128_ _ AES GCM SHA256 |
|
1301 |
|
Aperto — _ _256_ _ SSL TLS AES GCM SHA384 IANA— TLS _ _256_ _ AES GCM SHA384 |
|
1302 |
|
Aperto SSL — ECDHE-ECDSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c 02b |
|
Aperto SSL — ECDHE-RSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c 02 f |
|
Aperto SSL — 128 - ECDHE-ECDSA-AES SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c 023 |
|
Aperto SSL — 128 - ECDHE-RSA-AES SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c 027 |
|
Aperto SSL — 128 - ECDHE-ECDSA-AES SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Aperto SSL — 128 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c 013 |
|
Aperto SSL — ECDHE-ECDSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
c 02c |
|
Aperto SSL — ECDHE-RSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
c030 |
|
Aperto SSL — 256 - ECDHE-ECDSA-AES SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Aperto SSL — 256 - ECDHE-RSA-AES SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c-028 |
|
Aperto SSL — 256 - ECDHE-ECDSA-AES SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Aperto SSL — 256 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c 014 |
|
Aperto SSL — - - AES128 GCM SHA256 IANA— TLS _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
9 c |
|
Aperto SSL — - AES128 SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
- 3 c |
|
Aperto SSL — - AES128 SHA IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA |
|
- 2 f |
|
Aperto SSL — AES256 - - GCM SHA384 IANA— TLS _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
9d |
|
Aperto SSL — - AES256 SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA256 |
|
3d |
|
Apri SSL — AES256 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA |
|
35 |
Policy FS supportate
Le politiche di sicurezza supportate da FS (Forward Secrecy) forniscono ulteriori garanzie contro l'intercettazione di dati crittografati, attraverso l'uso di una chiave di sessione casuale unica. Ciò impedisce la decodifica dei dati acquisiti, anche se la chiave segreta a lungo termine è compromessa.
Protocolli per politica
La tabella seguente descrive i protocolli supportati da ogni policy di sicurezza supportata da FS.
| Policy di sicurezza | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-RES-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-RES-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
Cifre per politica
La tabella seguente descrive i codici supportati da ogni politica di sicurezza supportata da FS.
| Policy di sicurezza | Crittografie |
|---|---|
| ELBSecurityPolicy-FS-1-2-RES-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-RES-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
Politiche per cifra
La tabella seguente descrive le politiche di sicurezza supportate da FS che supportano ogni cifrario.
| Nome del cifrario | Policy di sicurezza | Suite di cifratura |
|---|---|---|
|
Aperto SSL — ECDHE-ECDSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Aperto SSL — ECDHE-RSA-AES 128- - GCM SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Aperto SSL — 128 - ECDHE-ECDSA-AES SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Aperto SSL — 128 - ECDHE-RSA-AES SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Aperto SSL — 128 - ECDHE-ECDSA-AES SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Aperto SSL — 128 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Aperto SSL — ECDHE-ECDSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _256_ _ SHA384 |
|
c02c |
|
Aperto SSL — ECDHE-RSA-AES 256- - GCM SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
c030 |
|
Aperto SSL — 256 - ECDHE-ECDSA-AES SHA384 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA384 |
|
c024 |
|
Aperto SSL — 256 - ECDHE-RSA-AES SHA384 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 |
|
c-028 |
|
Aperto SSL — 256 - ECDHE-ECDSA-AES SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _256_ _ SHA |
|
c00a |
|
Aperto SSL — 256 - ECDHE-RSA-AES SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA |
|
c014 |
