Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Politiche di sicurezza per il tuo Network Load Balancer
Quando crei un listener TLS, devi selezionare una policy di sicurezza. Una politica di sicurezza determina quali codici e protocolli sono supportati durante le negoziazioni SSL tra il sistema di bilanciamento del carico e i client. Puoi aggiornare la politica di sicurezza per il tuo sistema di bilanciamento del carico se i tuoi requisiti cambiano o quando rilasciamo una nuova politica di sicurezza. Per ulteriori informazioni, consulta Aggiornamento della policy di sicurezza.
Considerazioni
-
Un listener TLS richiede una politica di sicurezza. Se non specifichi una politica di sicurezza quando crei il listener, utilizziamo la politica di sicurezza predefinita. La politica di sicurezza predefinita dipende da come è stato creato il listener TLS:
-
Console: la politica di sicurezza predefinita è.
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 -
Altri metodi (ad esempio, la AWS CLI AWS CloudFormation, e la AWS CDK): la politica di sicurezza predefinita è
ELBSecurityPolicy-2016-08.
-
-
Le politiche di sicurezza con PQ nel nome offrono uno scambio di chiavi ibrido post-quantistico. Per motivi di compatibilità, supportano algoritmi di scambio di chiavi classici e post-quantistici ML-KEM . I clienti devono supportare lo scambio di ML-KEM chiavi per utilizzare il TLS post-quantistico ibrido per lo scambio di chiavi. Le politiche post-quantistiche ibride supportano gli algoritmi SECP256R1MLKem768, SECP384R1MLKEM1024 e X25519MLKEM768. Per ulteriori informazioni Post-quantum , consulta Crittografia
. -
AWS consiglia di implementare la nuova policy di sicurezza basata su TLS (PQ-TLS) post-quantum o.
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09Questa politica garantisce la compatibilità con le versioni precedenti supportando i clienti in grado di negoziare solo in modalità ibrida PQ-TLS, solo TLS 1.3 o solo TLS 1.2, riducendo così al minimo le interruzioni del servizio durante la transizione alla crittografia post-quantistica. È possibile migrare progressivamente verso politiche di sicurezza più restrittive man mano che le applicazioni client sviluppano la capacità di negoziare per le principali operazioni di scambio. PQ-TLS -
Puoi abilitare i log di accesso per informazioni sulle richieste TLS inviate al tuo Network Load Balancer, analizzare i modelli di traffico TLS, gestire gli aggiornamenti delle politiche di sicurezza e risolvere i problemi. Abilita la registrazione degli accessi per il tuo load balancer ed esamina le voci del registro di accesso corrispondenti. Per ulteriori informazioni, vedere Registri di accesso e interrogazioni di esempio su Network Load Balancer.
-
Per visualizzare la versione del protocollo TLS (posizione 5 del campo di registro) e lo scambio di chiavi (posizione del campo di registro 13) per le richieste di accesso al sistema di bilanciamento del carico, abilita la registrazione degli accessi ed esamina le voci di registro corrispondenti. Per ulteriori informazioni, consulta Log di accesso.
-
Puoi limitare le policy di sicurezza disponibili per gli utenti in tutto il tuo Account AWS e AWS Organizations utilizzando le chiavi di condizione Elastic Load Balancing rispettivamente nelle tue policy IAM e service control (SCP). Per ulteriori informazioni, consulta Policy di controllo dei servizi nella Guida per l'utente di AWS Organizations .
-
Le politiche che supportano solo TLS 1.3 supportano Forward Secrecy (FS). Le politiche che supportano TLS 1.3 e TLS 1.2 che hanno solo cifrari del formato TLS_* ed ECDHE_* forniscono anche FS.
-
I Network Load Balancer supportano l'estensione Extended Master Secret (EMS) per TLS 1.2.
Connessioni di backend
È possibile scegliere la politica di sicurezza utilizzata per le connessioni front-end, ma non per le connessioni backend. La politica di sicurezza per le connessioni di backend dipende dalla politica di sicurezza del listener. Se qualcuno dei tuoi ascoltatori utilizza:
-
Politica TLS post-quantistica FIPS: utilizzo delle connessioni di backend
ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 -
Politica FIPS: utilizzo delle connessioni di backend
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 -
Post-quantum Politica TLS: utilizzo delle connessioni di backend
ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 -
Politica TLS 1.3 - Utilizzo delle connessioni di backend
ELBSecurityPolicy-TLS13-1-0-2021-06 -
Tutte le altre politiche TLS utilizzate dalle connessioni di backend
ELBSecurityPolicy-2016-08
È possibile descrivere i protocolli e i codici utilizzando il comando AWS CLI describe-ssl-policies o fare riferimento alle tabelle seguenti.
Policy di sicurezza
Policy di sicurezza TLS
È possibile utilizzare le politiche di sicurezza TLS per soddisfare gli standard di conformità e sicurezza che richiedono la disabilitazione di determinate versioni del protocollo TLS o per supportare client legacy che richiedono cifrari obsoleti.
Le politiche che supportano solo TLS 1.3 supportano Forward Secrecy (FS). Le politiche che supportano TLS 1.3 e TLS 1.2 che hanno solo cifrari del formato TLS_* ed ECDHE_* forniscono anche FS.
Protocolli per politica
La tabella seguente descrive i protocolli supportati da ogni policy di sicurezza TLS.
| Policy di sicurezza | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-3-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy-TLS-1-2-2017-01 | ||||
| ELBSecurityPolicy-TLS-1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 | ||||
| ELBSecurityPolicy-2015-05 |
Cifre per policy
La tabella seguente descrive i codici supportati da ogni politica di sicurezza TLS.
| Policy di sicurezza | Crittografie |
|---|---|
|
ELBSecurityPolicy-TLS13-1-3-2021-06 ELBSecurityPolicy-TLS13-1-3-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-2021-06 ELBSecurityPolicy-TLS13-1-2-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Res-2021-06 ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 ELBSecurityPolicy-TLS13-1-2-Ext2-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 ELBSecurityPolicy-TLS13-1-2-Ext1-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS13-1-1-2021-06 |
|
|
ELBSecurityPolicy-TLS13-1-0-2021-06 ELBSecurityPolicy-TLS13-1-0-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 |
|
| ELBSecurityPolicy-TLS-1-2-2017-01 |
|
| ELBSecurityPolicy-TLS-1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
| ELBSecurityPolicy-2015-05 |
|
Politiche per cifratura
La tabella seguente descrive le politiche di sicurezza TLS che supportano ogni cifrario.
| Nome del cifrario | Policy di sicurezza | Suite di cifratura |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_SHA256 IANA — TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_SHA384 IANA — TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL — TLS_CHACHA20_POLY1305_SHA256 IANA — TLS_CHACHA20_POLY1305_SHA256 |
|
1303 |
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — AES128-GCM-SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9 cm |
|
OpenSSL — AES128-SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL — AES128-SHA IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — AES256-GCM-SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL — AES256-SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL — AES256-SHA IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Politiche di sicurezza FIPS
Il Federal Information Processing Standard (FIPS) è uno standard governativo statunitense e canadese che specifica i requisiti di sicurezza per i moduli crittografici che proteggono le informazioni sensibili. Per ulteriori informazioni, consulta Federal Information Processing Standard (FIPS) 140
Tutte le politiche FIPS sfruttano il modulo crittografico convalidato AWS-LC FIPS. Per saperne di più, consulta la pagina del modulo di crittografia sul sito del NIST AWS-LC Cryptographic Module
Importante
Le politiche ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 e ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 sono fornite solo per la compatibilità con le versioni precedenti. Sebbene utilizzino la crittografia FIPS utilizzando il modulo FIPS140, potrebbero non essere conformi alle ultime linee guida NIST per la configurazione TLS.
Protocolli per politica
La tabella seguente descrive i protocolli supportati da ogni politica di sicurezza FIPS.
| Policy di sicurezza | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-3-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-PQ-2025-09 | ||||
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 |
Cifre per policy
La tabella seguente descrive i codici supportati da ogni politica di sicurezza FIPS.
| Policy di sicurezza | Crittografie |
|---|---|
|
ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-3-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Res-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-PQ-2025-09 |
|
|
ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-PQ-2025-09 |
|
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 |
|
|
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-0-FIPS-PQ-2025-09 |
|
Politiche per cifratura
La tabella seguente descrive le politiche di sicurezza FIPS che supportano ogni cifrario.
| Nome del cifrario | Policy di sicurezza | Suite di cifratura |
|---|---|---|
|
OpenSSL — TLS_AES_128_GCM_SHA256 IANA — TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL — TLS_AES_256_GCM_SHA384 IANA — TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL — AES128-GCM-SHA256 IANA — TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9 cm |
|
OpenSSL — AES128-SHA256 IANA — TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL — AES128-SHA IANA — TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL — AES256-GCM-SHA384 IANA — TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL — AES256-SHA256 IANA — TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL — AES256-SHA IANA — TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
Politiche di sicurezza supportate da FS
Le politiche di sicurezza supportate da FS (Forward Secrecy) forniscono ulteriori garanzie contro l'intercettazione di dati crittografati, attraverso l'uso di una chiave di sessione casuale unica. Ciò impedisce la decodifica dei dati acquisiti, anche se la chiave segreta a lungo termine è compromessa.
Le politiche in questa sezione supportano FS e «FS» è incluso nei loro nomi. Tuttavia, queste non sono le uniche politiche che supportano FS. Le politiche che supportano solo TLS 1.3 supportano FS. Le politiche che supportano TLS 1.3 e TLS 1.2 che hanno solo cifrari del formato TLS_* ed ECDHE_* forniscono anche FS.
Protocolli per politica
La tabella seguente descrive i protocolli supportati da ogni policy di sicurezza supportata da FS.
| Policy di sicurezza | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-Res-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
Cifre per policy
La tabella seguente descrive i codici supportati da ogni politica di sicurezza supportata da FS.
| Policy di sicurezza | Crittografie |
|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-Res-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
Politiche per cifratura
La tabella seguente descrive le politiche di sicurezza supportate da FS che supportano ogni cifrario.
| Nome del cifrario | Policy di sicurezza | Suite di cifratura |
|---|---|---|
|
OpenSSL — ECDHE-ECDSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL — ECDHE-RSA-AES128-GCM-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA256 IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL — ECDHE-RSA-AES128-SHA256 IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL — ECDHE-ECDSA-AES128-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL — ECDHE-RSA-AES128-SHA IANA — TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL — ECDHE-ECDSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL — ECDHE-RSA-AES256-GCM-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA384 IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL — ECDHE-RSA-AES256-SHA384 IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL — ECDHE-ECDSA-AES256-SHA IANA — TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL — ECDHE-RSA-AES256-SHA IANA — TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
