As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas de segurança para o Network Load Balancer
Ao criar um listener TLS, é necessário selecionar uma política de segurança. Uma política de segurança determina quais cifras e protocolos são aceitos nas negociações SSL entre seu balanceador de carga e um cliente. A política de segurança do seu balanceador de carga poderá ser atualizada se seus requisitos mudarem ou quando lançarmos uma nova política de segurança. Para obter mais informações, consulte Atualizar a política de segurança.
Considerações
-
**A política
ELBSecurityPolicy-TLS13-1-2-2021-06é a política de segurança padrão para receptores TLS criados via AWS Management Console.-
Recomendamos a política de segurança
ELBSecurityPolicy-TLS13-1-2-2021-06, que inclui o TLS 1.3, e é compatível com versões anteriores do TLS 1.2.
-
-
**A política
ELBSecurityPolicy-2016-08é a política de segurança padrão para receptores TLS criados via AWS CLI. -
Você pode escolher a política de segurança usada para conexões de frontend, mas não para as de backend.
-
Para conexões de backend, se seu receptor TLS estiver usando uma política de segurança TLS 1.3, a política de segurança
ELBSecurityPolicy-TLS13-1-0-2021-06será usada. Caso contrário, a política de segurançaELBSecurityPolicy-2016-08será usada para as conexões de backend.
-
-
Você pode habilitar logs de acesso para obter informações sobre as solicitações de TLS enviadas ao Network Load Balancer, analisar padrões de tráfego TLS para gerenciar atualizações de políticas de segurança e solucionar problemas. Ative o registro de acesso para seu balanceador de carga e examine as entradas correspondentes do log de acesso. Para obter mais informações, consulte Logs de acesso e Consultas de exemplo do Network Load Balancer.
-
Você pode restringir quais políticas de segurança estão disponíveis para os usuários em todo o seu Contas da AWS e AWS Organizations usando as chaves de condição do Elastic Load Balancing em suas políticas de IAM e controle de serviço (SCPs), respectivamente. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário.
Você pode descrever os protocolos e as cifras usando o describe-ssl-policies AWS CLI comando ou consultar as tabelas abaixo.
Políticas de segurança
Políticas de segurança de TLS
Você pode usar as políticas de segurança do TLS para atender aos requisitos de conformidade e padrões de segurança que exigem a desativação de determinadas versões do protocolo TLS ou para oferecer suporte a clientes legados que exigem cifras descontinuadas.
Protocolos por política
A tabela a seguir descreve os protocolos compatíveis com cada política de segurança do TLS.
| Políticas de segurança | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolítica- TLS13 -1-3-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-2-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-2-Res-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-2-Ext2-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-2-Ext1-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-1-2021-06 | ||||
| ELBSecurityPolítica- TLS13 -1-0-2021-06 | ||||
| ELBSecurityPolítica-TLS-1-2-EXT-2018-06 | ||||
| ELBSecurityPolítica-TLS-1-2-2017-01 | ||||
| ELBSecurityPolítica-TLS-1-1-2017-01 | ||||
| ELBSecurityPolítica-2016-08 | ||||
| ELBSecurityPolítica-2015-05 |
Cifras por política
A tabela a seguir descreve as cifras compatíveis com cada política de segurança do TLS.
| Política de segurança | Cifras |
|---|---|
| ELBSecurityPolítica- TLS13 -1-3-2021-06 |
|
| ELBSecurityPolítica- TLS13 -1-2-2021-06 |
|
| ELBSecurityPolítica- TLS13 -1-2-Res-2021-06 |
|
| ELBSecurityPolítica- TLS13 -1-2-Ext2-2021-06 |
|
| ELBSecurityPolítica- TLS13 -1-2-Ext1-2021-06 |
|
| ELBSecurityPolítica- TLS13 -1-1-2021-06 |
|
| ELBSecurityPolítica- TLS13 -1-0-2021-06 |
|
| ELBSecurityPolítica-TLS-1-2-EXT-2018-06 |
|
| ELBSecurityPolítica-TLS-1-2-2017-01 |
|
| ELBSecurityPolítica-TLS-1-1-2017-01 |
|
| ELBSecurityPolítica-2016-08 |
|
| ELBSecurityPolítica-2015-05 |
|
Políticas por cifra
A tabela a seguir descreve as políticas de segurança do TLS compatíveis com cada cifra.
| Nome da cifra | Políticas de segurança | Pacote de cifras |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 IANA — TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 |
|
1303 |
|
ECDHE-ECDSA-AESOpenSSL — 128 GCM- SHA256 IANA — TLS_ECDHE_ECDSA_COM_AES_128_GCM_ SHA256 |
|
c02b |
|
ECDHE-RSA-AESOpenSSL — 128 GCM- SHA256 IANA — TLS_ECDHE_RSA_COM_AES_128_GCM_ SHA256 |
|
c02f |
|
ECDHE-ECDSA-AESOpenSSL — 128- SHA256 IANA — TLS_ECDHE_ECDSA_COM_AES_128_CBC_ SHA256 |
|
c023 |
|
ECDHE-RSA-AESOpenSSL — 128- SHA256 IANA — TLS_ECDHE_RSA_COM_AES_128_CBC_ SHA256 |
|
c027 |
|
ECDHE-ECDSA-AESOpenSSL — 128 SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
ECDHE-RSA-AESOpenSSL — 128 SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
ECDHE-ECDSA-AESOpenSSL — 256 GCM- SHA384 IANA — TLS_ECDHE_ECDSA_COM_AES_256_GCM_ SHA384 |
|
c02c |
|
ECDHE-RSA-AESOpenSSL — 256 GCM- SHA384 IANA — TLS_ECDHE_RSA_COM_AES_256_GCM_ SHA384 |
|
c030 |
|
ECDHE-ECDSA-AESOpenSSL — 256- SHA384 IANA — TLS_ECDHE_ECDSA_COM_AES_256_CBC_ SHA384 |
|
c024 |
|
ECDHE-RSA-AESOpenSSL — 256- SHA384 IANA — TLS_ECDHE_RSA_COM_AES_256_CBC_ SHA384 |
|
c028 |
|
ECDHE-ECDSA-AESOpenSSL — 256 SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
ECDHE-RSA-AESOpenSSL — 256 SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
AES128OpenSSL — -GCM- SHA256 IANA — TLS_RSA_COM_AES_128_GCM_ SHA256 |
|
9c |
|
AES128OpenSSL — - SHA256 IANA — TLS_RSA_COM_AES_128_CBC_ SHA256 |
|
3c |
|
AES128OpenSSL — -SHA IANA: TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
AES256OpenSSL — -GCM- SHA384 IANA — TLS_RSA_COM_AES_256_GCM_ SHA384 |
|
9d |
|
AES256OpenSSL — - SHA256 IANA — TLS_RSA_COM_AES_256_CBC_ SHA256 |
|
3d |
|
AES256OpenSSL — -SHA IANA: TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Políticas de segurança FIPS
O Federal Information Processing Standard (FIPS, Padrão de processamento de informações federal) é um padrão de segurança dos governos dos Estados Unidos e do Canadá que especifica os requisitos de segurança para módulos de criptografia que protegem informações confidenciais. Para saber mais, consulte Federal Information Processing Standard (FIPS) 140
Todas as políticas do FIPS utilizam o módulo criptográfico AWS-LC validado pelo FIPS. Para saber mais, consulte a página AWS-LC Cryptographic Module
Importante
As políticas ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 e ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 são fornecidas somente para compatibilidade legada. Embora utilizem criptografia FIPS usando o módulo FIPS14 0, eles podem não estar em conformidade com as diretrizes mais recentes do NIST para configuração de TLS.
Protocolos por política
A tabela a seguir descreve os protocolos compatíveis com cada política de segurança do FIPS.
| Políticas de segurança | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolítica- TLS13 -1-3-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-RES-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-ext2-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-ext1-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-2-EXT0-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-1-FIPS-2023-04 | ||||
| ELBSecurityPolítica- TLS13 -1-0-FIPS-2023-04 |
Cifras por política
A tabela a seguir descreve as cifras compatíveis com cada política de segurança do FIPS.
| Política de segurança | Cifras |
|---|---|
| ELBSecurityPolítica- TLS13 -1-3-FIPS-2023-04 |
|
| ELBSecurityPolítica- TLS13 -1-2-FIPS-2023-04 |
|
| ELBSecurityPolítica- TLS13 -1-2-RES-FIPS-2023-04 |
|
| ELBSecurityPolítica- TLS13 -1-2-ext2-FIPS-2023-04 |
|
| ELBSecurityPolítica- TLS13 -1-2-ext1-FIPS-2023-04 |
|
| ELBSecurityPolítica- TLS13 -1-2-EXT0-FIPS-2023-04 |
|
| ELBSecurityPolítica- TLS13 -1-1-FIPS-2023-04 |
|
| ELBSecurityPolítica- TLS13 -1-0-FIPS-2023-04 |
|
Políticas por cifra
A tabela a seguir descreve as políticas de segurança do FIPS compatíveis com cada cifra.
| Nome da cifra | Políticas de segurança | Pacote de cifras |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
ECDHE-ECDSA-AESOpenSSL — 128 GCM- SHA256 IANA — TLS_ECDHE_ECDSA_COM_AES_128_GCM_ SHA256 |
|
c02b |
|
ECDHE-RSA-AESOpenSSL — 128 GCM- SHA256 IANA — TLS_ECDHE_RSA_COM_AES_128_GCM_ SHA256 |
|
c02f |
|
ECDHE-ECDSA-AESOpenSSL — 128- SHA256 IANA — TLS_ECDHE_ECDSA_COM_AES_128_CBC_ SHA256 |
|
c023 |
|
ECDHE-RSA-AESOpenSSL — 128- SHA256 IANA — TLS_ECDHE_RSA_COM_AES_128_CBC_ SHA256 |
|
c027 |
|
ECDHE-ECDSA-AESOpenSSL — 128 SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
ECDHE-RSA-AESOpenSSL — 128 SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
ECDHE-ECDSA-AESOpenSSL — 256 GCM- SHA384 IANA — TLS_ECDHE_ECDSA_COM_AES_256_GCM_ SHA384 |
|
c02c |
|
ECDHE-RSA-AESOpenSSL — 256 GCM- SHA384 IANA — TLS_ECDHE_RSA_COM_AES_256_GCM_ SHA384 |
|
c030 |
|
ECDHE-ECDSA-AESOpenSSL — 256- SHA384 IANA — TLS_ECDHE_ECDSA_COM_AES_256_CBC_ SHA384 |
|
c024 |
|
ECDHE-RSA-AESOpenSSL — 256- SHA384 IANA — TLS_ECDHE_RSA_COM_AES_256_CBC_ SHA384 |
|
c028 |
|
ECDHE-ECDSA-AESOpenSSL — 256 SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
ECDHE-RSA-AESOpenSSL — 256 SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
AES128OpenSSL — -GCM- SHA256 IANA — TLS_RSA_COM_AES_128_GCM_ SHA256 |
|
9c |
|
AES128OpenSSL — - SHA256 IANA — TLS_RSA_COM_AES_128_CBC_ SHA256 |
|
3c |
|
AES128OpenSSL — -SHA IANA: TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
AES256OpenSSL — -GCM- SHA384 IANA — TLS_RSA_COM_AES_256_GCM_ SHA384 |
|
9d |
|
AES256OpenSSL — - SHA256 IANA — TLS_RSA_COM_AES_256_CBC_ SHA256 |
|
3d |
|
AES256OpenSSL — -SHA IANA: TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Políticas de segurança compatíveis com FS
As políticas de segurança compatíveis com FS (Forward Secrecy) fornecem proteções adicionais contra a espionagem de dados criptografados por meio do uso de uma chave de sessão aleatória exclusiva. Isso evita a decodificação dos dados capturados, mesmo que a chave secreta de longo prazo seja comprometida.
Protocolos por política
A tabela a seguir descreve os protocolos compatíveis com cada política de segurança com suporte do FS.
| Políticas de segurança | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolítica-FS-1-2-RES-2020-10 | ||||
| ELBSecurityPolítica-FS-1-2-RES-2019-08 | ||||
| ELBSecurityPolítica-FS-1-2-2019-08 | ||||
| ELBSecurityPolítica-FS-1-1-2019-08 | ||||
| ELBSecurityPolítica-FS-2018-06 |
Cifras por política
A tabela a seguir descreve as cifras para as quais cada política de segurança compatível com FS oferece suporte.
| Política de segurança | Cifras |
|---|---|
| ELBSecurityPolítica-FS-1-2-RES-2020-10 |
|
| ELBSecurityPolítica-FS-1-2-RES-2019-08 |
|
| ELBSecurityPolítica-FS-1-2-2019-08 |
|
| ELBSecurityPolítica-FS-1-1-2019-08 |
|
| ELBSecurityPolítica-FS-2018-06 |
|
Políticas por cifra
A tabela a seguir descreve as políticas de segurança com suporte do FS, compatíveis com cada cifra.
| Nome da cifra | Políticas de segurança | Pacote de cifras |
|---|---|---|
|
ECDHE-ECDSA-AESOpenSSL — 128 GCM- SHA256 IANA — TLS_ECDHE_ECDSA_COM_AES_128_GCM_ SHA256 |
|
c02b |
|
ECDHE-RSA-AESOpenSSL — 128 GCM- SHA256 IANA — TLS_ECDHE_RSA_COM_AES_128_GCM_ SHA256 |
|
c02f |
|
ECDHE-ECDSA-AESOpenSSL — 128- SHA256 IANA — TLS_ECDHE_ECDSA_COM_AES_128_CBC_ SHA256 |
|
c023 |
|
ECDHE-RSA-AESOpenSSL — 128- SHA256 IANA — TLS_ECDHE_RSA_COM_AES_128_CBC_ SHA256 |
|
c027 |
|
ECDHE-ECDSA-AESOpenSSL — 128 SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
ECDHE-RSA-AESOpenSSL — 128 SHA IANA: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
ECDHE-ECDSA-AESOpenSSL — 256 GCM- SHA384 IANA — TLS_ECDHE_ECDSA_COM_AES_256_GCM_ SHA384 |
|
c02c |
|
ECDHE-RSA-AESOpenSSL — 256 GCM- SHA384 IANA — TLS_ECDHE_RSA_COM_AES_256_GCM_ SHA384 |
|
c030 |
|
ECDHE-ECDSA-AESOpenSSL — 256- SHA384 IANA — TLS_ECDHE_ECDSA_COM_AES_256_CBC_ SHA384 |
|
c024 |
|
ECDHE-RSA-AESOpenSSL — 256- SHA384 IANA — TLS_ECDHE_RSA_COM_AES_256_CBC_ SHA384 |
|
c028 |
|
ECDHE-ECDSA-AESOpenSSL — 256 SHA IANA: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
ECDHE-RSA-AESOpenSSL — 256 SHA IANA: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
