Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsrichtlinien für Ihren Application Load Balancer
Elastic Load Balancing verwendet eine Secure Socket Layer (SSL)-Aushandlungskonfiguration, die als Sicherheitsrichtlinie bezeichnet wird, um SSL-Verbindungen zwischen einem Client und dem Load Balancer auszuhandeln. Eine Sicherheitsrichtlinie ist eine Kombination aus Protokollen und Verschlüsselungen. Das Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her und stellt sicher, dass alle Daten, die zwischen dem Client und Ihres Load Balancers übertragen werden, privat sind. Eine Chiffre ist ein Verschlüsselungsalgorithmus, der Verschlüsselungsschlüssel verwendet, um eine codierte Nachricht zu erstellen. Protokolle verwenden mehrere Chiffren, um Daten über das Internet zu verschlüsseln. Während der Verbindungsaushandlung präsentieren der Client und der Load Balancer eine Liste von Verschlüsselungsverfahren und Protokollen, die sie jeweils unterstützen, nach Priorität sortiert. Standardmäßig wird für die sichere Verbindung die erste Verschlüsselung auf der Liste des Servers ausgewählt, die mit einem der Verschlüsselungsverfahren des Clients übereinstimmt.
Überlegungen
-
Ein HTTPS-Listener erfordert eine Sicherheitsrichtlinie. Wenn Sie bei der Erstellung des Listeners keine Sicherheitsrichtlinie angeben, verwenden wir die Standard-Sicherheitsrichtlinie. Die Standardsicherheitsrichtlinie hängt davon ab, wie Sie den HTTPS-Listener erstellt haben:
-
Konsole — Die Standard-Sicherheitsrichtlinie lautet
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09. -
Andere Methoden (z. B. die AWS CLI AWS CloudFormation, und die AWS CDK) — Die Standard-Sicherheitsrichtlinie ist
ELBSecurityPolicy-2016-08. -
Um die TLS-Protokollversion (Protokollfeldposition 5) und den Schlüsselaustausch (Protokollfeldposition 13) für Verbindungsanfragen an Ihren Load Balancer anzuzeigen, aktivieren Sie die Verbindungsprotokollierung und überprüfen Sie die entsprechenden Protokolleinträge. Weitere Informationen finden Sie unter Verbindungsprotokolle.
-
Sicherheitsrichtlinien, deren Namen PQ enthalten, ermöglichen einen hybriden Schlüsselaustausch nach dem Quantum-Verfahren. Aus Kompatibilitätsgründen unterstützen sie sowohl klassische Algorithmen als auch Algorithmen für den ML-KEM Schlüsselaustausch nach dem Quantenaustausch. Kunden müssen den ML-KEM Schlüsselaustausch unterstützen, um hybrides Post-Quantum-TLS für den Schlüsselaustausch verwenden zu können. Die hybriden Post-Quantum-Richtlinien unterstützen die Algorithmen SECP256R1MLKEM768, SECP384R1MLKEM1024 und X25519MLKEM768. Weitere Informationen Post-quantum finden Sie unter Kryptografie
. -
AWS empfiehlt die Implementierung der neuen Post-Quantum-Sicherheitsrichtlinie auf Basis von TLS (PQ-TLS)
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09oderELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09. Diese Richtlinie gewährleistet die Abwärtskompatibilität, indem sie Kunden unterstützt, die in der Lage sind PQ-TLS, hybride Lösungen, nur TLS 1.3 oder nur TLS 1.2 auszuhandeln, wodurch Serviceunterbrechungen beim Übergang zur Post-Quanten-Kryptografie minimiert werden. Sie können schrittweise auf restriktivere Sicherheitsrichtlinien umsteigen, wenn Ihre Client-Anwendungen die Fähigkeit entwickeln, Schlüsselaustauschvorgänge auszuhandeln PQ-TLS . -
Sicherheitsrichtlinien, deren Namen RFC 9151 enthalten, unterstützen Sie bei der Einhaltung von RFC 9151, der die TLS-Anforderungen für die Suite Commercial National Security Algorithm (CNSA) 1.0 gemäß den Vorgaben der US-amerikanischen National Security Agency (NSA) definiert. Um den Übergang zu erleichtern, sind sie in zwei Kategorien erhältlich: strenge Richtlinien, die die vollständigen RFC 9151-Anforderungen durchsetzen, und Interop-Richtlinien (die „INTEROP“ in ihrem Namen enthalten), die sowohl RFC 9151-konforme als auch Nicht-RFC 9151-Chiffren unterstützen, um den schrittweisen Übergang zu erleichtern. AWS empfiehlt, mit der Minimierung von Unterbrechungen zu beginnen und dann schrittweise
ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07zu strengeren Richtlinien überzugehen, da die Clients RFC 9151 unterstützen. Sie können dietls_keyexchangeFeldertls_protocoltls_cipher, und in den ALB-Verbindungsprotokollen verwenden, um Client-Verbindungen zu überwachen. Weitere Informationen zu RFC 9151 finden Sie unter RFC 9151auf der IETF-Website.
-
-
Um die Compliance- und Sicherheitsstandards zu erfüllen, die die Deaktivierung bestimmter TLS-Protokollversionen erfordern, oder um ältere Clients zu unterstützen, die veraltete Verschlüsselungen benötigen, können Sie eine der Sicherheitsrichtlinien verwenden.
ELBSecurityPolicy-TLS-Um die TLS-Protokollversion für Anfragen an Ihren Application Load Balancer anzuzeigen, aktivieren Sie die Zugriffsprotokollierung für Ihren Load Balancer und überprüfen Sie die entsprechenden Zugriffsprotokolleinträge. Weitere Informationen finden Sie unter Zugriffsprotokolle. -
Sie können einschränken, welche Sicherheitsrichtlinien Benutzern in Ihrem AWS-Konten Land zur Verfügung stehen, AWS Organizations indem Sie die Elastic Load Balancing Balancing-Bedingungsschlüssel in Ihren IAM- bzw. Service Control Policies (SCPs) verwenden. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien (SCPs) im AWS Organizations -Benutzerhandbuch.
-
Richtlinien, die nur TLS 1.3 unterstützen, unterstützen Forward Secrecy (FS). Richtlinien, die TLS 1.3 und TLS 1.2 unterstützen und nur Chiffren der Form TLS_* und ECDHE_* enthalten, bieten auch FS.
-
Application Load Balancers unterstützen die TLS-Wiederaufnahme mithilfe von PSK (TLS 1.3) und Sitzungstickets (TLS 1.2 und älter). IDs/session Wiederaufnahmen werden nur bei Verbindungen mit derselben Application Load Balancer Balancer-IP-Adresse unterstützt. Die 0-RTT-Datenfunktion und die Erweiterung early_data sind nicht implementiert.
-
Application Load Balancer unterstützen keine benutzerdefinierten Sicherheitsrichtlinien.
-
Application Load Balancer unterstützen die erneute SSL-Aushandlung nur für Zielverbindungen.
Backend-Verbindungen
-
Sie können die Sicherheitsrichtlinie wählen, die für Front-End-Verbindungen verwendet wird, aber nicht für Back-End-Verbindungen. Die Sicherheitsrichtlinie für Back-End-Verbindungen hängt von der Listener-Sicherheitsrichtlinie ab. Wenn einer Ihrer Zuhörer Folgendes verwendet:
-
RFC 9151-Richtlinie (einschließlich aller Interop-Richtlinien) — Backend-Verbindungen verwenden
ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07 -
FIPS-Post-Quantum-TLS-Richtlinie — Verwendung von Backend-Verbindungen
ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 -
FIPS-Richtlinie — Verwendung von Backend-Verbindungen
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 -
Post-quantum TLS-Richtlinie — Verwendung von Backend-Verbindungen
ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 -
TLS 1.3-Richtlinie — Verwendung von Backend-Verbindungen
ELBSecurityPolicy-TLS13-1-0-2021-06 -
Andere TLS-Richtlinie — Verwendung von Backend-Verbindungen
ELBSecurityPolicy-2016-08
-
Sicherheitsrichtlinien
Beispiel für Befehle vom Typ describe-ssl-policies
Das folgende Beispiel beschreibt die angegebene Richtlinie.
aws elbv2 describe-ssl-policies \ --names "ELBSecurityPolicy-TLS13-1-2-Res-2021-06"
Im folgenden Beispiel werden Richtlinien mit der angegebenen Zeichenfolge im Richtliniennamen aufgeführt.
aws elbv2 describe-ssl-policies \ --query "SslPolicies[?contains(Name,'FIPS')].Name"
Das folgende Beispiel listet Richtlinien auf, die das angegebene Protokoll unterstützen.
aws elbv2 describe-ssl-policies \ --query "SslPolicies[?contains(SslProtocols,'TLSv1.3')].Name"
Das folgende Beispiel listet Richtlinien auf, die die angegebene Chiffre unterstützen.
aws elbv2 describe-ssl-policies \ --query "SslPolicies[?Ciphers[?contains(Name,'TLS_AES_128_GCM_SHA256')]].Name"
Das folgende Beispiel listet Richtlinien auf, die die angegebene Chiffre nicht unterstützen.
aws elbv2 describe-ssl-policies \ --query 'SslPolicies[?length(Ciphers[?starts_with(Name,`AES128-GCM-SHA256`)]) == `0`].Name'
TLS-Sicherheitsrichtlinien
Sie können die TLS-Sicherheitsrichtlinien verwenden, um Konformitäts- und Sicherheitsstandards zu erfüllen, die die Deaktivierung bestimmter TLS-Protokollversionen erfordern, oder um ältere Clients zu unterstützen, die veraltete Verschlüsselungen benötigen.
Richtlinien, die nur TLS 1.3 unterstützen, unterstützen Forward Secrecy (FS). Richtlinien, die TLS 1.3 und TLS 1.2 unterstützen und nur Chiffren der Form TLS_* und ECDHE_* enthalten, bieten auch FS.
Protokolle nach Richtlinie
In der folgenden Tabelle werden die Protokolle beschrieben, die von den einzelnen TLS-Sicherheitsrichtlinien unterstützt werden.
| Sicherheitsrichtlinien | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-3-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy-TLS-1-2-2017-01 | ||||
| ELBSecurityPolicy-TLS-1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 |
Verschlüsselungen nach Richtlinien
In der folgenden Tabelle werden die Verschlüsselungen beschrieben, die von den einzelnen TLS-Sicherheitsrichtlinien unterstützt werden.
| Sicherheitsrichtlinie | Verschlüsselungen |
|---|---|
|
ELBSecurityPolicy-TLS13-1-3-2021-06 ELBSecurityPolicy-TLS13-1-3-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-2021-06 ELBSecurityPolicy-TLS13-1-2-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Res-2021-06 ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 ELBSecurityPolicy-TLS13-1-2-Ext2-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 ELBSecurityPolicy-TLS13-1-2-Ext1-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS13-1-1-2021-06 |
|
|
ELBSecurityPolicy-TLS13-1-0-2021-06 ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 |
|
| ELBSecurityPolicy-TLS-1-2-2017-01 |
|
| ELBSecurityPolicy-TLS-1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
Richtlinien nach Chiffre
In der folgenden Tabelle werden die TLS-Sicherheitsrichtlinien beschrieben, die die einzelnen Verschlüsselungen unterstützen.
| Name der Chiffre | Sicherheitsrichtlinien | Verschlüsselungssuite |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_SHA256 IANA — TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_SHA384 IANA — TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL — TLS_CHACHA20_POLY1305_SHA256 IANA — TLS_CHACHA20_POLY1305_SHA256 |
|
1303 |
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — AES128-GCM-SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9 c |
|
OpenSSL — AES128-SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL — AES128-SHA IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — AES256-GCM-SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9 d |
|
OpenSSL — AES256-SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL — AES256-SHA IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FIPS-Sicherheitsrichtlinien
Der Federal Information Processing Standard (FIPS) ist ein US-amerikanischer und kanadischer Regierungsstandard, der die Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140
Alle FIPS-Richtlinien verwenden das AWS-LC FIPS-validierte kryptografische Modul. Weitere Informationen finden Sie auf der Seite AWS-LC Cryptographic Module
Wichtig
Richtlinien ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 und ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 werden nur aus Gründen der Kompatibilität mit älteren Versionen bereitgestellt. Sie verwenden zwar FIPS-Kryptografie mit dem FIPS140-Modul, entsprechen aber möglicherweise nicht den neuesten NIST-Richtlinien für die TLS-Konfiguration.
Protokolle nach Richtlinien
In der folgenden Tabelle werden die Protokolle beschrieben, die von den einzelnen FIPS-Sicherheitsrichtlinien unterstützt werden.
| Sicherheitsrichtlinien | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-3-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 |
Verschlüsselungen nach Richtlinien
In der folgenden Tabelle werden die Verschlüsselungen beschrieben, die von den einzelnen FIPS-Sicherheitsrichtlinien unterstützt werden.
| Sicherheitsrichtlinie | Verschlüsselungen |
|---|---|
|
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-3-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 |
|
|
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 |
|
Richtlinien nach Chiffre
In der folgenden Tabelle werden die FIPS-Sicherheitsrichtlinien beschrieben, die die einzelnen Verschlüsselungen unterstützen.
| Name der Chiffre | Sicherheitsrichtlinien | Verschlüsselungssuite |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_SHA256 IANA — TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_SHA384 IANA — TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — AES128-GCM-SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9 c |
|
OpenSSL — AES128-SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL — AES128-SHA IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — AES256-GCM-SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9 d |
|
OpenSSL — AES256-SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL — AES256-SHA IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Sicherheitsrichtlinien nach RFC 9151 (CNSA 1.0)
Application Load Balancer unterstützt Sicherheitsrichtlinien, die Sie bei der Einhaltung von RFC 9151 unterstützen, der die TLS-Anforderungen für die Commercial National Security Algorithm (CNSA) 1.0-Suite definiert, wie von der US National Security Agency (NSA) spezifiziert. RFC 9151 spezifiziert, wie die CNSA-Suite mit den Protokollen TLS 1.2 und TLS 1.3 verwendet wird, und definiert die kryptografischen Anforderungen für eine sichere Kommunikation, die den staatlichen Sicherheitsstandards entspricht. Weitere Informationen zu RFC 9151 finden Sie unter RFC 9151.
RFC 9151-Richtlinien sind in zwei Kategorien verfügbar:
Strenge Richtlinien — Erzwingen Sie strenge RFC 9151-Anforderungen an das Verschlüsselungs- und Signaturschema. Verwenden Sie diese, wenn alle Ihre Clients RFC 9151 unterstützen können.
Interop-Richtlinien — Support sowohl RFC 9151-konforme als auch nicht RFC 9151-konforme Chiffren und Signaturschemata, um einen schrittweisen Übergang zur RFC 9151-Konformität zu ermöglichen. Verwenden Sie diese, wenn Sie sich nicht sicher sind, ob alle Clients RFC 9151 unterstützen können, oder wenn Sie vermeiden möchten, dass Clients während der Umstellung gestört werden. Alle Interop-Richtlinien enthalten „INTEROP“ in ihrem Richtliniennamen.
AWS empfiehlt, mit der Interop-Richtlinie zu beginnen, die Clients unterstütztELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07, die klassische TLS 1.3-, TLS 1.2- oder strenge RFC 9151-Algorithmen aushandeln können, wodurch Unterbrechungen minimiert werden. Sie können schrittweise zu strengeren Richtlinien übergehen, da Ihre Kunden das strenge RFC 9151 aushandeln können. Sie können die tls_keyexchange Felder tls_protocoltls_cipher, und in den ALB-Verbindungsprotokollen verwenden, um zu überwachen, wie Clients eine Verbindung herstellen.
Wichtig
Wenn Sie eine RFC 9151-Sicherheitsrichtlinie für Ihren Listener auswählen, verwendet der Load Balancer ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07 für Backend-Verbindungen zu Zielen und anderen Diensten. Der Load Balancer kann jedoch die RFC 9151-Konformität bei ausgehenden Verbindungen, einschließlich Verbindungen zu Zielen, oder von Kunden konfigurierten externen Diensten (wie externen Identitätsanbietern oder Authentifizierungsendpunkten) nicht garantieren oder durchsetzen.
Es liegt in Ihrer Verantwortung, Folgendes sicherzustellen:
Ihre Ziele und alle externen Dienste, die Sie konfigurieren, können die Protokolle und Chiffren in der Backend-Verbindungsrichtlinie unterstützen.
Um die strikte RFC 9151-Konformität zwischen dem Load Balancer und Ihren Zielen zu gewährleisten, müssen Ihre Ziele über RFC 9151-konforme Zertifikate und Chiffren verfügen.
Wenn Ihre Back-End-Ziele nur TLS 1.0 oder TLS 1.1 unterstützen, schlagen Verbindungen fehl. Sie müssen die Protokolle und Chiffren auf Ihren Zielen aktualisieren, damit sie mit den von der Richtlinie unterstützten Verschlüsselungen übereinstimmen.
ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07
Protokolle nach Richtlinien
In der folgenden Tabelle werden die Protokolle beschrieben, die jede RFC 9151-Sicherheitsrichtlinie unterstützt.
| Sicherheitsrichtlinien | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-RFC9151-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-RFC9151-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP1-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP2-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP3-FIPS-2023-07 | ||||
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07 |
Verschlüsselungen nach Richtlinien
In der folgenden Tabelle werden die Chiffren beschrieben, die jede RFC 9151-Sicherheitsrichtlinie unterstützt.
| Sicherheitsrichtlinie | Verschlüsselungen |
|---|---|
| ELBSecurityPolicy-TLS13-1-3-RFC9151-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext0-RFC9151-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP1-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP2-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP3-FIPS-2023-07 |
|
| ELBSecurityPolicy-TLS13-1-2-RFC9151-INTEROP4-FIPS-2023-07 |
|
Richtlinien nach Chiffre
In der folgenden Tabelle werden die Sicherheitsrichtlinien nach RFC 9151 beschrieben, die die einzelnen Verschlüsselungen unterstützen.
| Name der Chiffre | Sicherheitsrichtlinien | Verschlüsselungssuite |
|---|---|---|
|
OpenSSL — TLS_AES_256_GCM_SHA384 IANA — TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL — TLS_AES_128_GCM_SHA256 IANA — TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — AES256-GCM-SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9 d |
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — AES256-SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL — AES256-SHA IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
|
OpenSSL — AES128-GCM-SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9 c |
|
OpenSSL — AES128-SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL — AES128-SHA IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
Von FS unterstützte Richtlinien
Von FS (Forward Secrecy) unterstützte Sicherheitsrichtlinien bieten zusätzliche Schutzmaßnahmen gegen das Abhören verschlüsselter Daten durch die Verwendung eines eindeutigen zufälligen Sitzungsschlüssels. Dadurch wird die Entschlüsselung erfasster Daten verhindert, selbst wenn der geheime Langzeitschlüssel kompromittiert wird.
Die Richtlinien in diesem Abschnitt unterstützen FS, und „FS“ ist in ihren Namen enthalten. Dies sind jedoch nicht die einzigen Richtlinien, die FS unterstützen. Richtlinien, die nur TLS 1.3 unterstützen, unterstützen FS. Richtlinien, die TLS 1.3 und TLS 1.2 unterstützen und nur Chiffren der Form TLS_* und ECDHE_* enthalten, stellen auch FS bereit.
Protokolle nach Richtlinie
In der folgenden Tabelle werden die Protokolle beschrieben, die von jeder FS-unterstützten Sicherheitsrichtlinie unterstützt werden.
| Sicherheitsrichtlinien | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-Res-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
Verschlüsselungen nach Richtlinien
In der folgenden Tabelle werden die Chiffren beschrieben, die von jeder FS-unterstützten Sicherheitsrichtlinie unterstützt werden.
| Sicherheitsrichtlinie | Verschlüsselungen |
|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-Res-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
Richtlinien nach Chiffre
In der folgenden Tabelle werden die von FS unterstützten Sicherheitsrichtlinien beschrieben, die die einzelnen Verschlüsselungen unterstützen.
| Name der Chiffre | Sicherheitsrichtlinien | Verschlüsselungssuite |
|---|---|---|
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |