As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas de segurança para o Application Load Balancer
O Elastic Load Balancing usa uma configuração de negociação Secure Socket Layer (SSL), conhecida como política de segurança, para negociar SSL conexões entre um cliente e o balanceador de carga. Uma política de segurança é uma combinação de cifras e protocolos. O protocolo estabelece uma conexão segura entre um cliente e um servidor, além de garantir que todos os dados passados entre o cliente e o load balancer sejam privados. A cifra é um algoritmo de criptografia que usa chaves de criptografia para criar uma mensagem codificada. Os protocolos usam várias cifras para criptografar dados pela Internet. Durante o processo de negociação de conexão, o cliente e o load balancer apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. Por padrão, a primeira cifra na lista do servidor que corresponder a qualquer uma das cifras do cliente é selecionada para a conexão segura.
Considerações
-
Os Application Load Balancers oferecem suporte à SSL renegociação somente para conexões de destino.
-
Os Application Load Balancers não são compatíveis com políticas de segurança personalizadas.
-
A
ELBSecurityPolicy-TLS13-1-2-2021-06política é a política de segurança padrão para HTTPS ouvintes criados usando o. AWS Management Console -
A
ELBSecurityPolicy-2016-08política é a política de segurança padrão para HTTPS ouvintes criados usando o. AWS CLI -
Quando você cria um HTTPS ouvinte, é necessário selecionar uma política de segurança.
-
Recomendamos a política
ELBSecurityPolicy-TLS13-1-2-2021-06de segurança, que inclui TLS 1.3 e é compatível com versões anteriores da TLS 1.2.
-
-
Você pode escolher a política de segurança usada para conexões front-end, mas não para conexões backend.
-
Para conexões de back-end, se algum de seus HTTPS ouvintes estiver usando uma política de segurança TLS 1.3, a política de
ELBSecurityPolicy-TLS13-1-0-2021-06segurança será usada. Caso contrário, a política de segurançaELBSecurityPolicy-2016-08sempre será usada para as conexões de backend.
-
-
Para atender aos padrões de conformidade e segurança que exigem a desativação de determinadas versões do TLS protocolo ou para oferecer suporte a clientes legados que exigem cifras obsoletas, você pode usar uma das políticas de segurança.
ELBSecurityPolicy-TLS-Para visualizar a versão do TLS protocolo para solicitações ao seu Application Load Balancer, ative o registro de acesso para seu balanceador de carga e examine as entradas correspondentes do registro de acesso. Para obter mais informações, consulte Access logs for your Application Load Balancer. -
Você pode restringir quais políticas de segurança estão disponíveis para os usuários em todo o seu Contas da AWS país AWS Organizations usando as chaves de condição do Elastic Load Balancing em suas políticas IAM e de controle de serviço (SCPs), respectivamente. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário
-
Os Application Load Balancers oferecem suporte à TLS retomada usando PSK (TLS1.3) e tickets de IDs sessão/sessão (TLS1.2 e anteriores). Há suporte para retomadas apenas em conexões com o mesmo endereço IP do Application Load Balancer. O recurso 0- RTT Data e a extensão early_data não estão implementados.
Você pode descrever os protocolos e as cifras usando o describe-ssl-policies AWS CLI comando ou consultar as tabelas abaixo.
Políticas de segurança
Políticas de segurança da TLS
Você pode usar as políticas de TLS segurança para atender aos padrões de conformidade e segurança que exigem a desativação de determinadas versões do TLS protocolo ou para oferecer suporte a clientes legados que exigem cifras obsoletas.
Protocolos por política
A tabela a seguir descreve os protocolos que cada política de TLS segurança suporta.
| Políticas de segurança | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy- TLS13 1-3-2021-06 | ||||
| ELBSecurityPolicy- TLS13 1-2-2021-06 | ||||
| ELBSecurityPolicy- TLS13 1-2-Res-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy- TLS13 1-1-02-2021-06 | ||||
| ELBSecurityPolicy- TLS13 1-0-2021-06 | ||||
| ELBSecurityPolicy- TLS 1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy- TLS 1-2-2017-01 | ||||
| ELBSecurityPolicy- TLS 1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 | ||||
| ELBSecurityPolicy-2015-05 |
Cifras por política
A tabela a seguir descreve as cifras suportadas por cada política TLS de segurança.
| Política de segurança | Cifras |
|---|---|
| ELBSecurityPolicy- TLS13 1-3-2021-06 |
|
| ELBSecurityPolicy- TLS13 1-2-2021-06 |
|
| ELBSecurityPolicy- TLS13 1-2-Res-2021-06 |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext2-2021-06 |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext1-2021-06 |
|
| ELBSecurityPolicy- TLS13 1-1-02-2021-06 |
|
| ELBSecurityPolicy- TLS13 1-0-2021-06 |
|
| ELBSecurityPolicy- TLS 1-2-Ext-2018-06 |
|
| ELBSecurityPolicy- TLS 1-2-2017-01 |
|
| ELBSecurityPolicy- TLS 1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
| ELBSecurityPolicy-2015-05 |
|
Políticas por cifra
A tabela a seguir descreve as políticas TLS de segurança que oferecem suporte a cada cifra.
| Nome da cifra | Políticas de segurança | Pacote de cifras |
|---|---|---|
|
Aberto SSL — TLS _ AES GCM _128_ _ SHA256 IANA— TLS _ AES GCM _128_ _ SHA256 |
|
1301 |
|
Aberto SSL — TLS _ AES GCM _256_ _ SHA384 IANA— TLS _ AES GCM _256_ _ SHA384 |
|
1302 |
|
Aberto SSL — TLS _ CHACHA2 0_ 05_ POLY13 SHA256 IANA— TLS _ CHACHA2 0_ 05_ POLY13 SHA256 |
|
1303 |
|
Aberto SSL — ECDHE-ECDSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Aberto SSL — ECDHE-RSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Aberto SSL — ECDHE-ECDSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Aberto SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Aberto SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Aberto SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES GCM _256_ _ SHA384 |
|
c02c |
|
Aberto SSL — ECDHE-RSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ RSA _ WITH AES GCM _256_ _ SHA384 |
|
c030 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES CBC _256_ _ SHA384 |
|
c024 |
|
Aberto SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA _ WITH AES CBC _256_ _ SHA384 |
|
c028 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES CBC _256_ _ SHA |
|
c00a |
|
Aberto SSL — ECDHE-RSA-AES 256- SHA IANA— TLS _ _ ECDHE _ RSA _ WITH AES CBC _256_ _ SHA |
|
c014 |
|
Aberto SSL — AES128 - GCM - SHA256 IANA— TLS _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
9c |
|
Aberto SSL — AES128 - SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
3c |
|
Aberto SSL — AES128 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA |
|
2f |
|
Aberto SSL — AES256 - GCM - SHA384 IANA— TLS _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
9d |
|
Aberto SSL — AES256 - SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA256 |
|
3d |
|
Aberto SSL — AES256 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA |
|
35 |
Políticas de segurança da FIPS
Importante
Todos os ouvintes seguros conectados a um Application Load Balancer devem usar políticas de segurança FIPS ou não FIPS políticas de segurança; elas não podem ser misturadas. Se um Application Load Balancer existente tiver dois ou mais ouvintes usando FIPS não-políticas e você quiser que os ouvintes usem políticas de FIPS segurança em vez disso, remova todos os ouvintes até que haja apenas um. Altere a política de segurança do ouvinte para FIPS e, em seguida, crie ouvintes adicionais usando políticas FIPS de segurança. Como alternativa, você pode criar um novo Application Load Balancer com novos ouvintes usando somente FIPS políticas de segurança.
O Federal Information Processing Standard (FIPS) é um padrão do governo dos EUA e do Canadá que especifica os requisitos de segurança para módulos criptográficos que protegem informações confidenciais. Para saber mais, consulte Federal Information Processing Standard (FIPS) 140
Todas FIPS as políticas utilizam o módulo AWS criptográfico FIPS validado -LC. Para saber mais, consulte a página do Módulo Criptográfico AWS -LC
Importante
As políticas ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 e ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 são fornecidas somente para compatibilidade legada. Embora utilizem FIPS criptografia usando o módulo FIPS14 0, eles podem não estar em conformidade com as NIST diretrizes mais recentes de TLS configuração.
Protocolos por política
A tabela a seguir descreve os protocolos que cada política de FIPS segurança suporta.
| Políticas de segurança | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy- TLS13 -1-3- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Res- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext2- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext1- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-2-Ext0- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-1- -2023-04 FIPS | ||||
| ELBSecurityPolicy- TLS13 -1-0- -2023-04 FIPS |
Cifras por política
A tabela a seguir descreve as cifras suportadas por cada política FIPS de segurança.
| Política de segurança | Cifras |
|---|---|
| ELBSecurityPolicy- TLS13 -1-3- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Res- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext2- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext1- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-2-Ext0- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-1- -2023-04 FIPS |
|
| ELBSecurityPolicy- TLS13 -1-0- -2023-04 FIPS |
|
Políticas por cifra
A tabela a seguir descreve as políticas FIPS de segurança que oferecem suporte a cada cifra.
| Nome da cifra | Políticas de segurança | Pacote de cifras |
|---|---|---|
|
Aberto SSL — TLS _ AES GCM _128_ _ SHA256 IANA— TLS _ AES GCM _128_ _ SHA256 |
|
1301 |
|
Aberto SSL — TLS _ AES GCM _256_ _ SHA384 IANA— TLS _ AES GCM _256_ _ SHA384 |
|
1302 |
|
Aberto SSL — ECDHE-ECDSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Aberto SSL — ECDHE-RSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Aberto SSL — ECDHE-ECDSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Aberto SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Aberto SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Aberto SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES GCM _256_ _ SHA384 |
|
c02c |
|
Aberto SSL — ECDHE-RSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ RSA _ WITH AES GCM _256_ _ SHA384 |
|
c030 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES CBC _256_ _ SHA384 |
|
c024 |
|
Aberto SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA _ WITH AES CBC _256_ _ SHA384 |
|
c028 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES CBC _256_ _ SHA |
|
c00a |
|
Aberto SSL — ECDHE-RSA-AES 256- SHA IANA— TLS _ _ ECDHE _ RSA _ WITH AES CBC _256_ _ SHA |
|
c014 |
|
Aberto SSL — AES128 - GCM - SHA256 IANA— TLS _ _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
9c |
|
Aberto SSL — AES128 - SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
3c |
|
Aberto SSL — AES128 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _128_ _ SHA |
|
2f |
|
Aberto SSL — AES256 - GCM - SHA384 IANA— TLS _ _ RSA WITH _ AES GCM _256_ _ SHA384 |
|
9d |
|
Aberto SSL — AES256 - SHA256 IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA256 |
|
3d |
|
Aberto SSL — AES256 - SHA IANA— TLS _ _ RSA WITH _ AES CBC _256_ _ SHA |
|
35 |
Políticas compatíveis com FS
As políticas de segurança com suporte do FS (Forward Secrecy) fornecem proteções adicionais contra a espionagem de dados criptografados, por meio do uso de uma chave de sessão aleatória exclusiva. Isso evita a decodificação dos dados capturados, mesmo que a chave secreta de longo prazo seja comprometida.
Protocolos por política
A tabela a seguir descreve os protocolos compatíveis com cada política de segurança com suporte do FS.
| Políticas de segurança | TLS1.3 | TLS1.2 | TLS1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-RES-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
Cifras por política
A tabela a seguir descreve as cifras para as quais cada política de segurança compatível com FS oferece suporte.
| Política de segurança | Cifras |
|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-RES-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
Políticas por cifra
A tabela a seguir descreve as políticas de segurança com suporte do FS, compatíveis com cada cifra.
| Nome da cifra | Políticas de segurança | Pacote de cifras |
|---|---|---|
|
Aberto SSL — ECDHE-ECDSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES GCM _128_ _ SHA256 |
|
c02b |
|
Aberto SSL — ECDHE-RSA-AES 128- GCM - SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 |
|
c02f |
|
Aberto SSL — ECDHE-ECDSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA256 |
|
c023 |
|
Aberto SSL — ECDHE-RSA-AES 128- SHA256 IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 |
|
c027 |
|
Aberto SSL — ECDHE-ECDSA-AES 128- SHA IANA— TLS _ _ ECDHE _ ECDSA WITH _ AES CBC _128_ _ SHA |
|
c009 |
|
Aberto SSL — ECDHE-RSA-AES 128- SHA IANA— TLS _ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA |
|
c013 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES GCM _256_ _ SHA384 |
|
c02c |
|
Aberto SSL — ECDHE-RSA-AES 256- GCM - SHA384 IANA— TLS _ _ ECDHE _ RSA _ WITH AES GCM _256_ _ SHA384 |
|
c030 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES CBC _256_ _ SHA384 |
|
c024 |
|
Aberto SSL — ECDHE-RSA-AES 256- SHA384 IANA— TLS _ _ ECDHE _ RSA _ WITH AES CBC _256_ _ SHA384 |
|
c028 |
|
Aberto SSL — ECDHE-ECDSA-AES 256- SHA IANA— TLS _ _ ECDHE _ ECDSA _ WITH AES CBC _256_ _ SHA |
|
c00a |
|
Aberto SSL — ECDHE-RSA-AES 256- SHA IANA— TLS _ _ ECDHE _ RSA _ WITH AES CBC _256_ _ SHA |
|
c014 |
