Classic Load Balancers での SSL ネゴシエーション設定 - エラスティックロードバランシング
セキュリティポリシーSSL プロトコルサーバーの優先順位SSL 暗号バックエンド接続用の暗号スイート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Classic Load Balancers での SSL ネゴシエーション設定

Elastic Load Balancing は、Secure Sockets Layer (SSL) ネゴシエーション設定 (セキュリティポリシーと呼ばれます) を使用して、クライアントとロードバランサー間の SSL 接続をネゴシエートします。セキュリティポリシーは、SSL プロトコル、SSL 暗号、およびサーバーの優先順位オプションを組み合わせたものです。ロードバランサーの SSL 接続を設定する方法については、「Classic Load Balancer のリスナー」を参照してください。

セキュリティポリシー

セキュリティポリシーによって、クライアントとロードバランサー間の SSL ネゴシエーションでサポートされる暗号とプロトコルが決まります。Classic Load Balancer では、事前定義済み、もしくはカスタムで作成したセキュリティポリシーのいずれかを使用するように設定できます。

( AWS Certificate Manager ACM) によって提供される証明書には、RSA パブリックキーが含まれていることに注意してください。このため、ACM が提供する証明書を使用する場合は、セキュリティポリシーに RSA を使用する暗号セットを含める必要があります。含めない場合は TLS 接続が失敗します。

事前定義されたセキュリティポリシー

事前に定義された最新のセキュリティポリシーの名前には、そのポリシーがリリースされた年月に基づくバージョン情報が含まれています。たとえば、事前に定義されたデフォルトのセキュリティポリシーは ELBSecurityPolicy-2016-08 です。事前に定義されたセキュリティポリシーを新たにリリースするたびに、そのポリシーを使用するよう設定を更新できます。

事前に定義されたセキュリティポリシーで有効なプロトコルと暗号については、「Classic Load Balancer 用の事前定義済み SSL セキュリティポリシー」を参照してください。

カスタムセキュリティポリシー

必要な暗号とプロトコルを備えたカスタムネゴシエーション設定を作成できます。たとえば、一部のセキュリティコンプライアンス基準 (PCI や SOC など) では、セキュリティの基準を確実に満たすために、特定のプロトコルと暗号のセットを要求する場合があります。このような場合は、それらの基準を満たすカスタムセキュリティポリシーを作成できます。

セキュリティポリシーの作成についての詳細は、「Classic Load Balancer の SSL ネゴシエーション設定の更新」を参照してください。

SSL プロトコル

SSL プロトコルは、クライアントとサーバーの間の安全な接続を確立し、クライアントとロードバランサーの間で受け渡しされるすべてのデータのプライバシーを保証します。

Secure Sockets Layer (SSL) と Transport Layer Security (TLS) はインターネットなどの安全性の低いネットワークでの機密データの暗号化に使用される暗号プロトコルです。TLS プロトコルは SSL プロトコルの新しいバージョンです。Elastic Load Balancing のドキュメントでは、SSL と TLS のプロトコルの両方を、SSL プロトコルと呼称しています。

推奨プロトコル

ELBSecurityPolicy-TLS-1-2-2017-01 の定義済みセキュリティポリシーで使用されている TLS 1.2 をお勧めします。TLS 1.2 をカスタムセキュリティポリシーで使用することもできます。デフォルトのセキュリティポリシーは TLS 1.2 とそれ以前のバージョンの TLS の両方をサポートしているため、ELBSecurityPolicy-TLS-1-2-2017-01 よりも安全性が低くなります。

非推奨のプロトコル

以前にカスタムポリシーで SSL 2.0 プロトコルを有効にした場合、セキュリティポリシーを事前に定義されたセキュリティポリシーに更新することをお勧めします。

サーバーの優先順位

Elastic Load Balancing では、クライアントとロードバランサー間の接続をネゴシエートする際の、サーバーの優先順位オプションをサポートしています。SSL 接続ネゴシエーションのプロセスで、クライアントとロードバランサーでは、それぞれサポートされる暗号とプロトコルのリストが優先される順に表示されます。デフォルトでは、クライアントのリストで最初にロードバランサーの暗号と一致した暗号が SSL 接続用に選択されます。サーバーの優先順位をサポートするようにロードバランサーが設定されていると、ロードバランサーはクライアントの暗号リストに含まれている暗号と最初に一致する暗号を、ロードバランサーのリストから選択します。このようにして、SSL 接続に使用される暗号がロードバランサーによって決定されます。サーバーの優先順位を有効にしない場合は、クライアントで設定された暗号の順序がクライアントとロードバランサー間の接続のネゴシエーションに使用されます。

SSL 暗号

SSL 暗号とは、暗号化キーを使用してコード化されたメッセージを作成する暗号化アルゴリズムです。SSL プロトコルは、複数の SSL 暗号を使用してインターネット経由のデータを暗号化します。

( AWS Certificate Manager ACM) によって提供される証明書には、RSA パブリックキーが含まれていることに注意してください。このため、ACM が提供する証明書を使用する場合は、セキュリティポリシーに RSA を使用する暗号セットを含める必要があります。含めない場合は TLS 接続が失敗します。

Elastic Load Balancing では、次の暗号の Classic Load Balancer での使用がサポートされています。これらの暗号のサブセットは、事前に定義された SSL ポリシーによって使用されます。これらのすべての暗号は、カスタムポリシーで使用できます。デフォルトのセキュリティポリシー (アスタリスクがあるもの) に含まれている暗号のみを使用することをお勧めします。他の多くの暗号は安全ではなく、お客様の責任にてご使用ください。

暗号

  • ECDHE-ECDSA-AES128- GCM-SHA256 *

  • ECDHE-RSA-AES128- GCM-SHA256 *

  • ECDHE-ECDSA-AES128-SHA256 *

  • ECDHE-RSA-AES128-SHA256 *

  • ECDHE-ECDSA-AES128-SHA *

  • ECDHE-RSA-AES128-SHA *

  • DHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384 *

  • ECDHE-RSA-AES256- GCM-SHA384 *

  • ECDHE-ECDSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA384 *

  • ECDHE-RSA-AES256-SHA *

  • ECDHE-ECDSA-AES256-SHA *

  • AES128-GCM-SHA256 *

  • AES128-SHA256 *

  • AES128-SHA *

  • AES256-GCM-SHA384 *

  • AES256-SHA256 *

  • AES256-SHA *

  • DHE-DSS-AES128-SHA

  • CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • DES-CBC3-SHA

  • ECDHE-RSA-RC4-SHA

  • RC4-SHA

  • ECDHE-ECDSA-RC4-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • CAMELLIA256-SHA

  • EDH-DSS-DES-CBC3-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • ADH-AES128-GCM-SHA256

  • ADH-AES128-SHA

  • ADH-AES128-SHA256

  • ADH-AES256-GCM-SHA384

  • ADH-AES256-SHA

  • ADH-AES256-SHA256

  • ADH-CAMELLIA128-SHA

  • ADH-CAMELLIA256-SHA

  • ADH-DES-CBC3-SHA

  • ADH-DES-CBC-SHA

  • ADH-RC4-MD5

  • ADH-SEED-SHA

  • DES-CBC-SHA

  • DHE-DSS-SEED-SHA

  • DHE-RSA-SEED-SHA

  • EDH-DSS-DES-CBC-SHA

  • EDH-RSA-DES-CBC-SHA

  • IDEA-CBC-SHA

  • RC4-MD5

  • SEED-SHA

  • DES-CBC3-MD5

  • DES-CBC-MD5

  • RC2-CBC-MD5

  • PSK-AES256-CBC-SHA

  • PSK-3DES-EDE-CBC-SHA

  • KRB5-DES-CBC3-SHA

  • KRB5-DES-CBC3-MD5

  • PSK-AES128-CBC-SHA

  • PSK-RC4-SHA

  • KRB5-RC4-SHA

  • KRB5-RC4-MD5

  • KRB5-DES-CBC-SHA

  • KRB5-DES-CBC-MD5

  • EXP-EDH-RSA-DES-CBC-SHA

  • EXP-EDH-DSS-DES-CBC-SHA

  • EXP-ADH-DES-CBC-SHA

  • EXP-DES-CBC-SHA

  • EXP-RC2-CBC-MD5

  • EXP-KRB5-RC2-CBC-SHA

  • EXP-KRB5-DES-CBC-SHA

  • EXP-KRB5-RC2-CBC-MD5

  • EXP-KRB5-DES-CBC-MD5

  • EXP-ADH-RC4-MD5

  • EXP-RC4-MD5

  • EXP-KRB5-RC4-SHA

  • EXP-KRB5-RC4-MD5

* これらは、デフォルトのセキュリティポリシー ELBSecurityPolicy-2016-08 に含まれる暗号です。

バックエンド接続用の暗号スイート

Classic Load Balancer は、バックエンド接続に静的暗号スイートを使用します。Classic Load Balancer と登録されたインスタンスが接続をネゴシエートできない場合は、次のいずれかの暗号を含めます。

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA

  • CAMELLIA256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • CAMELLIA128-SHA

  • RC4-SHA

  • DES-CBC3-SHA

  • DES-CBC-SHA

  • DHE-DSS-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-SHA256

  • DHE-DSS-AES256-SHA256

  • DHE-RSA-AES256-SHA

  • DHE-DSS-AES256-SHA

  • DHE-RSA-CAMELLIA256-SHA

  • DHE-DSS-CAMELLIA256-SHA

  • DHE-DSS-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-SHA256

  • DHE-DSS-AES128-SHA256

  • DHE-RSA-AES128-SHA

  • DHE-DSS-AES128-SHA

  • DHE-RSA-CAMELLIA128-SHA

  • DHE-DSS-CAMELLIA128-SHA

  • EDH-RSA-DES-CBC3-SHA

  • EDH-DSS-DES-CBC3-SHA

  • EDH-RSA-DES-CBC-SHA

  • EDH-DSS-DES-CBC-SHA