Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques de sécurité pour votre Application Load Balancer
Elastic Load Balancing utilise une configuration de négociation Secure Socket Layer (SSL) (ou politique de sécurité) pour négocier des connexions SSL entre un client et l'équilibreur de charge. Une stratégie de sécurité est une combinaison de protocoles et de chiffrements. Le protocole établit une connexion sécurisée entre un client et un serveur, et s'assure que toutes les données transmises entre le client et votre équilibreur de charge sont privées. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Les protocoles utilisent plusieurs chiffrements pour chiffrer les données sur Internet. Pendant le processus de négociation de connexion , le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. Par défaut, le premier chiffrement sur la liste du serveur qui correspond à l'un des chiffrements du client est sélectionné pour la connexion sécurisée.
Considérations
-
Application Load Balancers prennent en charge la renégociation SSL pour les connexions cibles uniquement.
-
Lorsque vous créez un écouteur HTTPS, vous devez sélectionner une stratégie de sécurité.
-
Il s'agit
ELBSecurityPolicy-TLS13-1-2-Res-2021-06de la politique de sécurité par défaut pour les écouteurs HTTPS créés à l'aide du AWS Management Console. Cette politique prend en charge le protocole TLS 1.3 et est rétrocompatible avec le protocole TLS 1.2. -
Il s'agit
ELBSecurityPolicy-2016-08de la politique de sécurité par défaut pour les écouteurs HTTPS créés à l'aide du AWS CLI. -
Application Load Balancers ne prennent pas en charge les politiques de sécurité personnalisées.
-
Vous pouvez choisir la politique de sécurité à utiliser pour les connexions frontales, mais pas pour les connexions dorsales.
-
Pour les connexions principales, si l'un de vos écouteurs HTTPS utilise une politique de sécurité TLS 1.3, c'est la politique de sécurité qui est
ELBSecurityPolicy-TLS13-1-0-2021-06utilisée. Dans le cas contraire, la stratégie de sécuritéELBSecurityPolicy-2016-08est utilisée pour les connexions backend. -
Remarque : Si vous utilisez une politique FIPS TLS sur votre écouteur HTTPS, elle
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04est utilisée pour les connexions principales.
-
-
Pour respecter les normes de conformité et de sécurité qui nécessitent la désactivation de certaines versions du protocole TLS, ou pour prendre en charge les anciens clients nécessitant des chiffrements obsolètes, vous pouvez utiliser l'une des politiques de sécurité.
ELBSecurityPolicy-TLS-Pour consulter la version du protocole TLS pour les demandes adressées à votre Application Load Balancer, activez la journalisation des accès pour votre équilibreur de charge et examinez les entrées du journal d'accès correspondantes. Pour plus d'informations, consultez les journaux d'accès de votre Application Load Balancer. -
Vous pouvez restreindre les politiques de sécurité accessibles aux utilisateurs de votre pays Comptes AWS et en AWS Organizations utilisant les clés de condition Elastic Load Balancing dans vos politiques IAM et de contrôle des services (SCPs), respectivement. Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur
-
Les politiques qui ne prennent en charge que le protocole TLS 1.3 prennent en charge le protocole FS (Forward Secrecy). Les politiques qui prennent en charge les protocoles TLS 1.3 et TLS 1.2 qui utilisent uniquement des chiffrements de la forme TLS_* et ECDHE_* fournissent également FS.
-
Les équilibreurs de charge des applications prennent en charge la reprise du TLS à l'aide du PSK (TLS 1.3) et des tickets de IDs session/session (TLS 1.2 et versions antérieures). Les reprises ne sont prises en charge que dans les connexions à la même adresse IP d'Application Load Balancer. La fonctionnalité 0-RTT Data et l'extension early_data ne sont pas implémentées.
-
Les équilibreurs de charge d'application prennent en charge l'extension Extended Master Secret (EMS) pour TLS 1.2.
Vous pouvez décrire les protocoles et les chiffrements à l'aide de la describe-ssl-policies AWS CLI commande ou consulter les tableaux ci-dessous.
Stratégies de sécurité
Stratégies de sécurité TLS
Vous pouvez utiliser les politiques de sécurité TLS pour respecter les normes de conformité et de sécurité qui nécessitent la désactivation de certaines versions du protocole TLS, ou pour prendre en charge les anciens clients qui nécessitent des chiffrements obsolètes.
Les politiques qui ne prennent en charge que le protocole TLS 1.3 prennent en charge le protocole FS (Forward Secrecy). Les politiques qui prennent en charge les protocoles TLS 1.3 et TLS 1.2 qui utilisent uniquement des chiffrements de la forme TLS_* et ECDHE_* fournissent également FS.
Protocoles par politique
Le tableau suivant décrit les protocoles pris en charge par chaque politique de sécurité TLS.
| Stratégies de sécurité | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolitique- TLS13 -1-3-2021-06 | ||||
| ELBSecurityPolitique- TLS13 -1-2-2021-06 | ||||
| ELBSecurityPolitique- TLS13 -1-2-Res-2021-06 | ||||
| ELBSecurityPolitique- TLS13 1-2-Ext 2-2021-06 | ||||
| ELBSecurityPolitique- TLS13 1-2-Ext1-2021-06 | ||||
| ELBSecurityPolitique- TLS13 -1-1-2021-06 | ||||
| ELBSecurityPolitique- TLS13 -1-0-2021-06 | ||||
| ELBSecurityPolitique-TLS-1-2-Ext-2018-06 | ||||
| ELBSecurityPolitique-TLS-1-2-2017-01 | ||||
| ELBSecurityPolitique-TLS-1-1-2017-01 | ||||
| ELBSecurityPolitique-2016-08 | ||||
| ELBSecurityPolitique-2015-05 |
Chiffrements par politique
Le tableau suivant décrit les chiffrements pris en charge par chaque politique de sécurité TLS.
| Politique de sécurité | Chiffrements |
|---|---|
| ELBSecurityPolitique- TLS13 -1-3-2021-06 |
|
| ELBSecurityPolitique- TLS13 -1-2-2021-06 |
|
| ELBSecurityPolitique- TLS13 -1-2-Res-2021-06 |
|
| ELBSecurityPolitique- TLS13 1-2-Ext 2-2021-06 |
|
| ELBSecurityPolitique- TLS13 1-2-Ext1-2021-06 |
|
| ELBSecurityPolitique- TLS13 -1-1-2021-06 |
|
| ELBSecurityPolitique- TLS13 -1-0-2021-06 |
|
| ELBSecurityPolitique-TLS-1-2-Ext-2018-06 |
|
| ELBSecurityPolitique-TLS-1-2-2017-01 |
|
| ELBSecurityPolitique-TLS-1-1-2017-01 |
|
| ELBSecurityPolitique-2016-08 |
|
| ELBSecurityPolitique-2015-05 |
|
Politiques par chiffrement
Le tableau suivant décrit les politiques de sécurité TLS qui prennent en charge chaque chiffrement.
| Nom du code | Stratégies de sécurité | Suite de chiffrement |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 IANA — TLS_ 0_ 05_ CHACHA2 POLY13 SHA256 |
|
1303 |
|
OpenSSL — 128 GCM- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — 128 GCM- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 128- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 128- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128 ECDHE-ECDSA-AES SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128 ECDHE-RSA-AES SHA IANA — TLS_ECDHE_RSA_WITH_AES_128 CBC_SHA |
|
c013 |
|
OpenSSL — 256 GCM- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — 256 GCM- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
C030 |
|
OpenSSL — 256- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
C024 |
|
OpenSSL — 256- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256 ECDHE-ECDSA-AES SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256 ECDHE-RSA-AES SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — -GCM - AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_ SHA256 |
|
9c |
|
OpenSSL — - AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_ SHA256 |
|
3 c |
|
OpenSSL — AES128 -SHA IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — -GCM - AES256 SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_ SHA384 |
|
9d |
|
OpenSSL — - AES256 SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_ SHA256 |
|
3d |
|
OpenSSL — AES256 -SHA IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Politiques de sécurité FIPS
Important
Tous les écouteurs sécurisés connectés à un Application Load Balancer doivent utiliser des politiques de sécurité FIPS ou des politiques de sécurité non FIPS ; elles ne peuvent pas être combinées. Si un Application Load Balancer existant possède au moins deux écouteurs utilisant des politiques non FIPS et que vous souhaitez qu'ils utilisent plutôt des politiques de sécurité FIPS, supprimez tous les écouteurs jusqu'à ce qu'il n'y en ait qu'un seul. Changez la politique de sécurité de l'écouteur en FIPS, puis créez des écouteurs supplémentaires à l'aide des politiques de sécurité FIPS. Vous pouvez également créer un nouvel Application Load Balancer avec de nouveaux écouteurs en utilisant uniquement les politiques de sécurité FIPS.
La norme fédérale de traitement de l'information (FIPS) est une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Pour en savoir plus, consultez la norme fédérale de traitement de l'information (FIPS) 140
Toutes les politiques FIPS tirent parti du module cryptographique AWS-LC validé FIPS. Pour en savoir plus, consultez la page du module cryptographique AWS-LC sur le site du programme de validation du module
Important
Les politiques ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 sont fournies uniquement à des fins de compatibilité avec les anciennes versions. Bien qu'ils utilisent la cryptographie FIPS à l'aide du module FIPS14 0, ils peuvent ne pas être conformes aux dernières directives du NIST pour la configuration TLS.
Protocoles par politique
Le tableau suivant décrit les protocoles pris en charge par chaque politique de sécurité FIPS.
| Stratégies de sécurité | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolitique- TLS13 -1-3-FIPS-2023-04 | ||||
| ELBSecurityPolitique- TLS13 -1-2-FIPS-2023-04 | ||||
| ELBSecurityPolitique- TLS13 -1-2-RES-FIPS-2023-04 | ||||
| ELBSecurityPolitique- TLS13 -1-2-EXT2-FIPS-2023-04 | ||||
| ELBSecurityPolitique- TLS13 -1-2-EXT1-FIPS-2023-04 | ||||
| ELBSecurityPolitique- TLS13 -1-2-EXT0-FIPS-2023-04 | ||||
| ELBSecurityPolitique- TLS13 -1-1-FIPS-2023-04 | ||||
| ELBSecurityPolitique- TLS13 -1-0-FIPS-2023-04 |
Chiffrements par politique
Le tableau suivant décrit les chiffrements pris en charge par chaque politique de sécurité FIPS.
| Politique de sécurité | Chiffrements |
|---|---|
| ELBSecurityPolitique- TLS13 -1-3-FIPS-2023-04 |
|
| ELBSecurityPolitique- TLS13 -1-2-FIPS-2023-04 |
|
| ELBSecurityPolitique- TLS13 -1-2-RES-FIPS-2023-04 |
|
| ELBSecurityPolitique- TLS13 -1-2-EXT2-FIPS-2023-04 |
|
| ELBSecurityPolitique- TLS13 -1-2-EXT1-FIPS-2023-04 |
|
| ELBSecurityPolitique- TLS13 -1-2-EXT0-FIPS-2023-04 |
|
| ELBSecurityPolitique- TLS13 -1-1-FIPS-2023-04 |
|
| ELBSecurityPolitique- TLS13 -1-0-FIPS-2023-04 |
|
Politiques par chiffrement
Le tableau suivant décrit les politiques de sécurité FIPS qui prennent en charge chaque chiffrement.
| Nom du code | Stratégies de sécurité | Suite de chiffrement |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_ SHA256 IANA — TLS_AES_128_GCM_ SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_ SHA384 IANA — TLS_AES_256_GCM_ SHA384 |
|
1302 |
|
OpenSSL — 128 GCM- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — 128 GCM- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 128- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 128- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128 ECDHE-ECDSA-AES SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128 ECDHE-RSA-AES SHA IANA — TLS_ECDHE_RSA_WITH_AES_128 CBC_SHA |
|
c013 |
|
OpenSSL — 256 GCM- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — 256 GCM- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
C030 |
|
OpenSSL — 256- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
C024 |
|
OpenSSL — 256- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256 ECDHE-ECDSA-AES SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256 ECDHE-RSA-AES SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — -GCM - AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_ SHA256 |
|
9c |
|
OpenSSL — - AES128 SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_ SHA256 |
|
3 c |
|
OpenSSL — AES128 -SHA IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — -GCM - AES256 SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_ SHA384 |
|
9d |
|
OpenSSL — - AES256 SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_ SHA256 |
|
3d |
|
OpenSSL — AES256 -SHA IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Politiques FS prises en charge
Les politiques de sécurité prises en charge par FS (Forward Secrecy) fournissent des garanties supplémentaires contre l'écoute de données cryptées, grâce à l'utilisation d'une clé de session aléatoire unique. Cela empêche le décodage des données capturées, même si la clé secrète à long terme est compromise.
Les politiques décrites dans cette section prennent en charge FS, et le terme « FS » figure dans leur nom. Toutefois, ces politiques ne sont pas les seules à prendre en charge le FS. Les politiques qui prennent uniquement en charge le protocole TLS 1.3 prennent en charge le FS. Les politiques qui prennent en charge les protocoles TLS 1.3 et TLS 1.2 qui utilisent uniquement des chiffrements de la forme TLS_* et ECDHE_* fournissent également FS.
Protocoles par politique
Le tableau suivant décrit les protocoles pris en charge par chaque politique de sécurité prise en charge par FS.
| Stratégies de sécurité | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolitique-FS-1-2-RES-2020-10 | ||||
| ELBSecurityPolitique-FS-1-2-RES-2019-08 | ||||
| ELBSecurityPolitique-FS-1-2-2019-08 | ||||
| ELBSecurityPolitique-FS-1-1-2019-08 | ||||
| ELBSecurityPolitique-FS-2018-06 |
Chiffrements par politique
Le tableau suivant décrit les chiffrements pris en charge par chaque politique de sécurité prise en charge par FS.
| Politique de sécurité | Chiffrements |
|---|---|
| ELBSecurityPolitique-FS-1-2-RES-2020-10 |
|
| ELBSecurityPolitique-FS-1-2-RES-2019-08 |
|
| ELBSecurityPolitique-FS-1-2-2019-08 |
|
| ELBSecurityPolitique-FS-1-1-2019-08 |
|
| ELBSecurityPolitique-FS-2018-06 |
|
Politiques par chiffrement
Le tableau suivant décrit les politiques de sécurité prises en charge par FS qui prennent en charge chaque chiffrement.
| Nom du code | Stratégies de sécurité | Suite de chiffrement |
|---|---|---|
|
OpenSSL — 128 GCM- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
|
c02b |
|
OpenSSL — 128 GCM- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
|
c02f |
|
OpenSSL — 128- ECDHE-ECDSA-AES SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA256 |
|
c023 |
|
OpenSSL — 128- ECDHE-RSA-AES SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
|
c027 |
|
OpenSSL — 128 ECDHE-ECDSA-AES SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — 128 ECDHE-RSA-AES SHA IANA — TLS_ECDHE_RSA_WITH_AES_128 CBC_SHA |
|
c013 |
|
OpenSSL — 256 GCM- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
|
c02c |
|
OpenSSL — 256 GCM- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
|
C030 |
|
OpenSSL — 256- ECDHE-ECDSA-AES SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
|
C024 |
|
OpenSSL — 256- ECDHE-RSA-AES SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
|
c028 |
|
OpenSSL — 256 ECDHE-ECDSA-AES SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — 256 ECDHE-RSA-AES SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
