本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Application Load Balancer 的安全政策
Elastic Load Balancing 使用 Secure Sockets Layer (SSL) 交涉組態 (稱為安全政策),在用戶端與負載平衡器之間交涉 SSL 連線。安全政策為通訊協定與加密的組合。通訊協定會在用戶端與伺服器之間建立安全連線,並確保在用戶端與負載平衡器之間傳遞的所有資料為私有。隨碼是一項加密演算法,使用加密金鑰來建立編碼的訊息。通訊協定使用多個加密來加密透過網際網路的資料。在連線交涉程序期間,用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。在預設情況下,將針對安全連線選取伺服器清單上符合任何用戶端加密的第一個加密。
考量事項
-
Application Load Balancers 僅支援目標連線的 SSL 重新交涉。
-
Application Load Balancers 不支援自訂安全政策。
-
HTTPS 接聽程式需要安全政策。如果您在建立接聽程式時未指定安全政策,我們會使用預設的安全政策。預設安全政策取決於您建立 HTTPS 接聽程式的方式:
-
主控台 – 預設安全政策為
ELBSecurityPolicy-TLS13-1-2-Res-2021-06。 -
其他方法 (例如 AWS CLI AWS CloudFormation和 AWS CDK) – 預設安全政策為
ELBSecurityPolicy-2016-08。
-
-
您可以選擇用於前端連線的安全政策,但不能選擇後端連線。後端連線的安全政策取決於接聽程式安全政策:
-
如果 HTTPS 接聽程式使用 TLS 1.3 安全政策,後端連線會使用
ELBSecurityPolicy-TLS13-1-0-2021-06政策。 -
如果 HTTPS 接聽程式使用 FIPS 政策,後端連線會使用
ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04政策。 -
否則,後端連線會使用
ELBSecurityPolicy-2016-08政策。
-
-
若要符合需要停用特定 TLS 通訊協定版本的合規和安全標準,或支援需要已棄用加密的舊版用戶端,您可以使用其中一個
ELBSecurityPolicy-TLS-安全政策。若要檢視 Application Load Balancer 請求的 TLS 通訊協定版本,請啟用負載平衡器的存取記錄,並檢查對應的存取日誌項目。如需詳細資訊,請參閱存取日誌。 -
您可以分別在 IAM 和服務控制政策 (SCPs) 中使用 Elastic Load Balancing 條件金鑰 AWS 帳戶 ,來限制哪些安全政策可供 AWS Organizations 和 的使用者使用。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策 (SCP)。
-
僅支援 TLS 1.3 的政策支援轉送秘密 (FS)。支援僅具有 TLS_* 和 ECDHE_* 格式密碼的 TLS 1.3 和 TLS 1.2 的政策也提供 FS。
-
Application Load Balancer 支援使用 PSK (TLS 1.3) 和工作階段 IDs/工作階段票證 (TLS 1.2 及更舊版本) 的 TLS 恢復。只有在連線到相同的 Application Load Balancer IP 地址時,才支援恢復。0-RTT 資料功能和 early_data 延伸未實作。
-
Application Load Balancer 支援 TLS 1.2 的擴充主機密 (EMS) 延伸。
您可以使用 describe-ssl-policies AWS CLI 命令來描述通訊協定和密碼,或參考下表。
安全政策
TLS 安全政策
您可以使用 TLS 安全政策來符合需要停用特定 TLS 通訊協定版本的合規和安全標準,或支援需要已棄用密碼的舊版用戶端。
僅支援 TLS 1.3 的政策支援轉送秘密 (FS)。支援僅具有 TLS_* 和 ECDHE_* 格式密碼的 TLS 1.3 和 TLS 1.2 的政策也提供 FS。
依政策的通訊協定
下表說明每個 TLS 安全政策支援的通訊協定。
| 安全政策 | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-1-2021-06 | ||||
| ELBSecurityPolicy-TLS13-1-0-2021-06 | ||||
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 | ||||
| ELBSecurityPolicy-TLS-1-2-2017-01 | ||||
| ELBSecurityPolicy-TLS-1-1-2017-01 | ||||
| ELBSecurityPolicy-2016-08 | ||||
| ELBSecurityPolicy-2015-05 |
政策的 Ciphers
下表說明每個 TLS 安全政策支援的加密。
| 安全政策 | 加密方式 |
|---|---|
| ELBSecurityPolicy-TLS13-1-3-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Res-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-1-2021-06 |
|
| ELBSecurityPolicy-TLS13-1-0-2021-06 |
|
| ELBSecurityPolicy-TLS-1-2-Ext-2018-06 |
|
| ELBSecurityPolicy-TLS-1-2-2017-01 |
|
| ELBSecurityPolicy-TLS-1-1-2017-01 |
|
| ELBSecurityPolicy-2016-08 |
|
| ELBSecurityPolicy-2015-05 |
|
依密碼排列的政策
下表說明支援每個密碼的 TLS 安全政策。
| 密碼名稱 | 安全政策 | 密碼套件 |
|---|---|---|
|
OpenSSL – TLS_AES_128_GCM_SHA256 IANA – TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL – TLS_AES_256_GCM_SHA384 IANA – TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL – TLS_CHACHA20_POLY1305_SHA256 IANA – TLS_CHA20_POLY1305_SHA256 |
|
1303 |
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL – AES128-GCM-SHA256 IANA – TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL – AES128-SHA256 IANA – TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL – AES128-SHA IANA – TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL – AES256-GCM-SHA384 IANA – TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL – AES256-SHA256 IANA – TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL – AES256-SHA IANA – TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FIPS 安全政策
重要
連接至 Application Load Balancer 的所有安全接聽程式都必須使用 FIPS 安全政策或非 FIPS 安全政策;不可混合。如果現有的 Application Load Balancer 有兩個以上的接聽程式使用非 FIPS 政策,而您希望接聽程式改用 FIPS 安全政策,請移除所有接聽程式,直到只有一個接聽程式為止。將接聽程式的安全政策變更為 FIPS,然後使用 FIPS 安全政策建立其他接聽程式。或者,您可以使用僅使用 FIPS 安全政策的新接聽程式建立新的 Application Load Balancer。
聯邦資訊處理標準 (FIPS) 是美國和加拿大政府標準,指定保護敏感資訊之密碼編譯模組的安全要求。若要進一步了解,請參閱AWS 雲端安全合規頁面上的聯邦資訊處理標準 (FIPS) 140
所有 FIPS 政策都利用 AWS-LC FIPS 驗證的密碼編譯模組。若要進一步了解,請參閱 NIST 密碼編譯模組驗證計劃網站上的 AWS-LC
重要
政策和 ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 僅供舊版相容性使用。雖然他們使用 FIPS140 模組來使用 FIPS 密碼編譯,但可能不符合 TLS 組態的最新 NIST 指引。
依政策的通訊協定
下表說明每個 FIPS 安全政策支援的通訊協定。
| 安全政策 | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 | ||||
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 |
政策的 Ciphers
下表說明每個 FIPS 安全政策支援的加密。
| 安全政策 | 加密方式 |
|---|---|
| ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04 |
|
| ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04 |
|
依密碼排列的政策
下表說明支援每個密碼的 FIPS 安全政策。
| 密碼名稱 | 安全政策 | 密碼套件 |
|---|---|---|
|
OpenSSL – TLS_AES_128_GCM_SHA256 IANA – TLS_AES_128_GCM_SHA256 |
|
1301 |
|
OpenSSL – TLS_AES_256_GCM_SHA384 IANA – TLS_AES_256_GCM_SHA384 |
|
1302 |
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
|
OpenSSL – AES128-GCM-SHA256 IANA – TLS_RSA_WITH_AES_128_GCM_SHA256 |
|
9c |
|
OpenSSL – AES128-SHA256 IANA – TLS_RSA_WITH_AES_128_CBC_SHA256 |
|
3c |
|
OpenSSL – AES128-SHA IANA – TLS_RSA_WITH_AES_128_CBC_SHA |
|
2f |
|
OpenSSL – AES256-GCM-SHA384 IANA – TLS_RSA_WITH_AES_256_GCM_SHA384 |
|
9d |
|
OpenSSL – AES256-SHA256 IANA – TLS_RSA_WITH_AES_256_CBC_SHA256 |
|
3d |
|
OpenSSL – AES256-SHA IANA – TLS_RSA_WITH_AES_256_CBC_SHA |
|
35 |
FS 支援的政策
FS (Forward Secrecy) 支援的安全政策透過使用唯一的隨機工作階段金鑰,提供額外的保護,防止加密資料的竊聽。這可防止對擷取的資料進行解碼,即使秘密長期金鑰遭到入侵也一樣。
本節中的政策支援 FS,且「FS」包含在其名稱中。不過,這些並非支援 FS 的唯一政策。僅支援 TLS 1.3 的政策支援 FS。支援僅具有 TLS_* 和 ECDHE_* 格式密碼的 TLS 1.3 和 TLS 1.2 的政策也提供 FS。
依政策的通訊協定
下表說明每個 FS 支援的安全政策支援的通訊協定。
| 安全政策 | TLS 1.3 | TLS 1.2 | TLS 1.1 | TLS 1.0 |
|---|---|---|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 | ||||
| ELBSecurityPolicy-FS-1-2-Res-2019-08 | ||||
| ELBSecurityPolicy-FS-1-2-2019-08 | ||||
| ELBSecurityPolicy-FS-1-1-2019-08 | ||||
| ELBSecurityPolicy-FS-2018-06 |
政策的 Ciphers
下表說明每個 FS 支援的安全政策支援的密碼。
| 安全政策 | 加密方式 |
|---|---|
| ELBSecurityPolicy-FS-1-2-Res-2020-10 |
|
| ELBSecurityPolicy-FS-1-2-Res-2019-08 |
|
| ELBSecurityPolicy-FS-1-2-2019-08 |
|
| ELBSecurityPolicy-FS-1-1-2019-08 |
|
| ELBSecurityPolicy-FS-2018-06 |
|
依密碼排列的政策
下表說明支援每個密碼的 FS 支援安全政策。
| 密碼名稱 | 安全政策 | 密碼套件 |
|---|---|---|
|
OpenSSL – ECDHE-ECDSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
|
c02b |
|
OpenSSL – ECDHE-RSA-AES128-GCM-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
|
c02f |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA256 IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
|
c023 |
|
OpenSSL – ECDHE-RSA-AES128-SHA256 IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
|
c027 |
|
OpenSSL – ECDHE-ECDSA-AES128-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
|
c009 |
|
OpenSSL – ECDHE-RSA-AES128-SHA IANA – TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
|
c013 |
|
OpenSSL – ECDHE-ECDSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
|
c02c |
|
OpenSSL – ECDHE-RSA-AES256-GCM-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
|
c030 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA384 IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
|
c024 |
|
OpenSSL – ECDHE-RSA-AES256-SHA384 IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
|
c028 |
|
OpenSSL – ECDHE-ECDSA-AES256-SHA IANA – TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
|
c00a |
|
OpenSSL – ECDHE-RSA-AES256-SHA IANA – TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
|
c014 |
