本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
应用程序负载均衡器的安全策略
Elastic Load Balancing 使用一个安全套接字层 (SSL) 协商配置(称为安全策略)在客户端与负载均衡器之间协商 SSL 连接。安全策略是协议和密码的组合。协议在客户端与服务器之间建立安全连接,确保在客户端与负载均衡器之间传递的所有数据都是私密数据。密码是使用加密密钥创建编码消息的加密算法。协议使用多种密码对 Internet 上的数据进行加密。在 连接协商过程中,客户端和负载均衡器会按首选项顺序提供各自支持的密码和协议的列表。默认情况下,会为安全连接选择服务器列表中与任何一个客户端的密码匹配的第一个密码。
注意事项
-
应用程序负载均衡器仅支持目标连接的 SSL 重新协商。
-
Application Load Balancer 不支持自定义安全策略。
-
ELBSecurityPolicy-TLS13-1-2-2021-06策略是使用 AWS Management Console创建的 HTTPS 侦听器的默认安全策略。 -
ELBSecurityPolicy-2016-08策略是使用 AWS CLI创建的 HTTPS 侦听器的默认安全策略。 -
创建 HTTPS 侦听器时,需要选择一个安全策略。
-
我们推荐
ELBSecurityPolicy-TLS13-1-2-2021-06安全策略,该安全策略包括 TLS 1.3,并且向后兼容 TLS 1.2。
-
-
您可以选择用于前端连接而不用于后端连接的安全策略。
-
对于后端连接,如果任何 HTTPS 侦听器使用的是 TLS 1.3 安全策略,则使用
ELBSecurityPolicy-TLS13-1-0-2021-06安全策略。否则,ELBSecurityPolicy-2016-08安全策略用于后端连接。
-
-
为了满足需要禁用某些 TLS 协议版本的合规性和安全性标准,或者为了支持需要已弃用密码的旧客户端,您可以使用其中一种
ELBSecurityPolicy-TLS-安全策略。要查看针对应用程序负载均衡器的请求的 TLS 协议版本,请为负载均衡器启用访问日志记录并检查相应的访问日志条目。有关更多信息,请参阅 Access logs for your Application Load Balancer。 -
您可以分别使用您 AWS 账户 的 IAM 中的 Elastic Load Balancing 条件密钥和服务控制策略 (SCPs) 来限制用户可以使用哪些安全策略。 AWS Organizations 有关更多信息,请参阅《AWS Organizations 用户指南》中的服务控制策略 (SCPs)
-
应用程序负载均衡器支持使用 PSK (TLS 1.3) 和会话 IDs /会话票证(TLS 1.2 及更早版本)恢复 TLS。只有连接到相同的应用程序负载均衡器 IP 地址时才支持恢复。未实现 0-RTT 数据功能和 early_data 扩展。
您可以使用describe-ssl-policies AWS CLI 命令描述协议和密码,也可以参考下表。
安全策略
TLS 安全策略
您可以使用 TLS 安全策略来满足需要禁用某些 TLS 协议版本的合规性和安全标准,或者支持需要已弃用密码的旧客户端。
按策略划分的协议
下表描述了每个 TLS 安全策略支持的协议。
| 安全策略 | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurity政策-TLS13 -1-3-2021-06 | ||||
| ELBSecurity政策-TLS13 -1-2-2021-06 | ||||
| ELBSecurity政策 TLS13 -1-2-Res-2021-06 | ||||
| ELBSecurity政策 TLS13 -1-2-Ext2-2021-06 | ||||
| ELBSecurity政策 TLS13 -1-2-Ext1-2021-06 | ||||
| ELBSecurity政策-TLS13 -1-1-2021-06 | ||||
| ELBSecurity政策-1-0 TLS13 -2021-06 | ||||
| ELBSecurityPolicy-tls-1-2-ext-2018-06 | ||||
| ELBSecurityPolicy-tls-1-2-2017-01 | ||||
| ELBSecurity政策-tls-1-1-2017-01 | ||||
| ELBSecurity政策-2016-08 | ||||
| ELBSecurity政策-2015-05 |
按策略划分的密码
下表描述了每个 TLS 安全策略支持的密码。
| 安全策略 | 密码 |
|---|---|
| ELBSecurity政策-TLS13 -1-3-2021-06 |
|
| ELBSecurity政策-TLS13 -1-2-2021-06 |
|
| ELBSecurity政策 TLS13 -1-2-Res-2021-06 |
|
| ELBSecurity政策 TLS13 -1-2-Ext2-2021-06 |
|
| ELBSecurity政策 TLS13 -1-2-Ext1-2021-06 |
|
| ELBSecurity政策-TLS13 -1-1-2021-06 |
|
| ELBSecurity政策-1-0 TLS13 -2021-06 |
|
| ELBSecurityPolicy-tls-1-2-ext-2018-06 |
|
| ELBSecurityPolicy-tls-1-2-2017-01 |
|
| ELBSecurity政策-tls-1-1-2017-01 |
|
| ELBSecurity政策-2016-08 |
|
| ELBSecurity政策-2015-05 |
|
按密码划分的策略
下表描述了支持每个密码的 TLS 安全策略。
| 密码名称 | 安全策略 | 密码套件 |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — TL CHACHA2 S_ 0_ 05_ POLY13 SHA256 IANA — TLS CHACHA2 _ 0_ 05_ POLY13 SHA256 |
|
1303 |
|
OpenSSL — ECDHE-ECDSA-AES 128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES 128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 12 8- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 12 8- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128-SHA ECDHE-ECDSA-AES IANA:TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128-SHA ECDHE-RSA-AES IANA:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES 256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES 256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — 25 6- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — 25 6- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256-SHA ECDHE-ECDSA-AES IANA:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256-SHA ECDHE-RSA-AES IANA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL —- AES128 G CM-SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_ SHA256 |
|
9c |
|
OpenSSL —- AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_ SHA256 |
|
3c |
|
OpenSSL —-SHA AES128 IANA:TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL —- AES256 G CM-SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_ SHA384 |
|
9d |
|
OpenSSL —- AES256 SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_ SHA256 |
|
3d |
|
OpenSSL —-SHA AES256 IANA:TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FIPS 安全策略
重要
附加到应用程序负载均衡器的所有安全侦听器都必须使用 FIPS 安全策略或非 FIPS 安全策略;它们不能混合使用。如果现有应用程序负载均衡器有两个或更多使用非 FIPS 策略的侦听器,并且您希望侦听器改用 FIPS 安全策略,请删除所有侦听器,直到只有一个为止。将侦听器的安全策略更改为 FIPS,然后使用 FIPS 安全策略创建其他侦听器。或者,您可以仅使用 FIPS 安全策略创建具有新侦听器的新应用程序负载均衡器。
联邦信息处理标准(FIPS)是美国和加拿大政府标准,其中规定了保护敏感信息的加密模块的安全要求。要了解更多信息,请参阅 AWS Cloud 安全性合规性页面上的美国联邦信息处理标准(FIPS)140
所有 FIPS 策略均利用 AWS-LC FIPS 验证的加密模块。要了解更多信息,请参阅 NIST Cryptographic Module Validation Program 网站上的 AWS-LC Cryptographic Module
重要
策略 ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 和 ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 只是为了与旧版兼容而提供。虽然他们使用 FIPS14 0 模块使用 FIPS 加密,但它们可能不符合最新的 NIST TLS 配置指南。
按策略划分的协议
下表描述了每个 FIPS 安全策略支持的协议。
| 安全策略 | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurity政策 TLS13 -1-3-FIPS-2023-04 | ||||
| ELBSecurity政策 TLS13 -1-2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-1-2-res TLS13-fips-2023-04 | ||||
| ELBSecurity政策-1-2-ext2-f TLS13 ips-2023-04 | ||||
| ELBSecurity政策-1-2-ext1-f TLS13 ips-2023-04 | ||||
| ELBSecurity政策-1-2-ext0 TLS13-fips-2023-04 | ||||
| ELBSecurity政策 TLS13 -1-1-FIPS-2023-04 | ||||
| ELBSecurity政策-1-0 TLS13-FIPS-2023-04 |
按策略划分的密码
下表描述了每个 FIPS 安全策略支持的密码。
| 安全策略 | 密码 |
|---|---|
| ELBSecurity政策 TLS13 -1-3-FIPS-2023-04 |
|
| ELBSecurity政策 TLS13 -1-2-FIPS-2023-04 |
|
| ELBSecurityPolicy-1-2-res TLS13-fips-2023-04 |
|
| ELBSecurity政策-1-2-ext2-f TLS13 ips-2023-04 |
|
| ELBSecurity政策-1-2-ext1-f TLS13 ips-2023-04 |
|
| ELBSecurity政策-1-2-ext0 TLS13-fips-2023-04 |
|
| ELBSecurity政策 TLS13 -1-1-FIPS-2023-04 |
|
| ELBSecurity政策-1-0 TLS13-FIPS-2023-04 |
|
按密码划分的策略
下表描述了支持每个密码的 FIPS 安全策略。
| 密码名称 | 安全策略 | 密码套件 |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — ECDHE-ECDSA-AES 128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES 128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 12 8- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 12 8- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128-SHA ECDHE-ECDSA-AES IANA:TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128-SHA ECDHE-RSA-AES IANA:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES 256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES 256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — 25 6- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — 25 6- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256-SHA ECDHE-ECDSA-AES IANA:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256-SHA ECDHE-RSA-AES IANA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL —- AES128 G CM-SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_ SHA256 |
|
9c |
|
OpenSSL —- AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_ SHA256 |
|
3c |
|
OpenSSL —-SHA AES128 IANA:TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL —- AES256 G CM-SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_ SHA384 |
|
9d |
|
OpenSSL —- AES256 SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_ SHA256 |
|
3d |
|
OpenSSL —-SHA AES256 IANA:TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FS 支持的策略
FS(向前保密)支持的安全策略通过使用唯一的随机会话密钥,提供了防止加密数据被窃听的额外保障。即使秘密的长期密钥被泄露,这也可以防止对捕获的数据进行解码。
按策略划分的协议
下表描述了每个 FS 支持的安全策略支持的协议。
| 安全策略 | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-fs-1-2-res-2020-10 | ||||
| ELBSecurityPolicy-fs-1-2-res-2019-08 | ||||
| ELBSecurityPolicy-fs-1-2-2019-08 | ||||
| ELBSecurityPolicy-fs-1-2019-08 | ||||
| ELBSecurity政策-fs-2018-06 |
按策略划分的密码
下表描述了每个 FS 支持的安全策略支持的密码。
| 安全策略 | 密码 |
|---|---|
| ELBSecurityPolicy-fs-1-2-res-2020-10 |
|
| ELBSecurityPolicy-fs-1-2-res-2019-08 |
|
| ELBSecurityPolicy-fs-1-2-2019-08 |
|
| ELBSecurityPolicy-fs-1-2019-08 |
|
| ELBSecurity政策-fs-2018-06 |
|
按密码划分的策略
下表描述了支持每个密码的 FS 支持的安全策略。
| 密码名称 | 安全策略 | 密码套件 |
|---|---|---|
|
OpenSSL — ECDHE-ECDSA-AES 128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES 128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 12 8- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 12 8- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128-SHA ECDHE-ECDSA-AES IANA:TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128-SHA ECDHE-RSA-AES IANA:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES 256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES 256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
c030 |
|
OpenSSL — 25 6- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
c024 |
|
OpenSSL — 25 6- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256-SHA ECDHE-ECDSA-AES IANA:TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256-SHA ECDHE-RSA-AES IANA:TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
